Preuve de concept pour contourner les restrictions d'accès DMA via l'exploitation d'une vulnérabilité d'Intel TXT

Par Xavier Poli, secuobs.com
Le 24/12/2009

---

Résumé : Une nouvelle preuve de concept vient d'être publiée afin de démontrer qu'une erreur d'implémentation au sein d'Intel TXT peut faciliter la réalisation d'attaques DMA via le contournement des restrictions d'accès mémoire en présence. - Lire l'article



Invisible Things Lab ( lien ) vient de publier des détails sur une attaque permettant d'exploiter Intel TXT ( Trusted Execution Technology - lien ) afin de contourner les protections contre les attaques DMA. A savoir tout d'abord qu'il existe quatre unités de remappage DMA au sein des chipsets Intel Q45 et qu'elles sont toutes localisées dans le NorthBridge MCH. Elles sont chacune responsables d'une catégorie spécifique de périphériques.

Les opérations TXT sont par ailleurs ici assurées par l'instruction CPU SENTER afin de restreindre les accès DMA aux plages mémoire sensibles (hyperviseur, ...) depuis les périphériques en présence. Pour obtenir des informations sur ces unités, SENTER utilise la table DMAR ACPI qui présente deux inconvénients majeurs : elle n'est pas signée par le BIOS et elle peut être facilement écrasée puisqu'elle réside en RAM sans aucune protection.

En altérant DMAR ACPI, les chercheurs ont dès lors essayé de cacher à SENTER la présence de plusieurs de ces unités afin d'effectuer une attaque DMA depuis les périphérique gérés par une des unités dissimulées. Cette première tentative s'est néanmoins soldée par un échec, provoquant un dysfonctionnement lors de l'exécution de SENTER, tout en affichant un message d'erreur pour des anomalies détectées au sein de DMAR ACPI.

Il s'avère que SENTER utilise en fait les modules SINIT (cf. Tboot pour XEN et le noyau Linux - lien ) afin de vérifier l'intégrité du champ BAR de DMAR ACPI en comparant ses valeurs avec celles fournies par le Chipset dans la région MCHBAR. En examinant le code des modules SINIT, les chercheurs ont néanmoins pu identifier un moyen de contourner cela grâce une erreur d'implémentation dans la partie en charge de récupérer l'adresse de base de MCHBAR.

Un registre 64-bit spécifique est en effet traité ici comme un registre 32-bit, autorisant dès lors un attaquant à modifier la valeur de base MCHBAR. Il peut ainsi créer une copie modifiée de MCHBAR à cette nouvelle adresse afin de dissimuler l'unité souhaitée et faire correspondre les valeurs avec celles de BAR dans la table DMAR ACPI falsifiée. Ces opérations étant effectuées avant l'exécution de SENTER, ce dernier ne pourra logiquement pas définir des permissions pour une unité dont il n'a pas connaissance.

Bien que la mémoire ne soit pas protégée vis-à-vis des périphériques liés à l'unité dissimulée, l'hyperviseur sera tout de même lancé avec des risques d'attaques DMA depuis une machine virtuelle non-privilégiée présentant au moins un périphérique PCI assigné. Malgré l'accumulation de ses faiblesses exposées, TXT reste néanmoins une technologie qui devrait permettre à l'avenir de proposer des systèmes de plus en plus complexes à exploiter, de par la minimisation des surfaces d'attaque potentielles.

Le papier Another TXT attack ( lien )
Le bulletin de sécurité Intel et le correctif ( lien )

Source : Blog Invisible Things Lab ( lien )