Et hold af MIT CSAIL forskere afslørede for nylig PACMAN, "et nyt hardwareangreb, der kan omgå Pointer Authentication (PAC) på Apple M1 CPU." Angrebet er baseret på spekulative henrettelsesangreb for at omgå en central hukommelsesbeskyttelsesmekanisme, kendt som ARM Pointer Authentication, som er en sikkerhedsfunktion for pointerintegritet.
Hvad er PACMAN, og hvordan påvirker det Apple?
I sin essens, PACMAN er en udnyttelsesteknik, som ikke kan bruges alene til at kompromittere et operativsystem. “Mens hardwaremekanismerne, der bruges af PACMAN, ikke kan patches med softwarefunktioner, hukommelseskorruption fejl kan være,”Bemærkede holdet.
Smuthullet stammer fra pointer-godkendelseskoder, kort kendt som PAC'er, som er en sikkerhedsdel af arm64e-arkitekturen, der sigter mod at beskytte mod uventede ændringer i pointere. Kort sagt, pointere er objekter, der gemmer en hukommelsesadresse i hukommelsen.
PACMAN er blevet beskrevet som en kombination af et co-angreb af software og hardware. For at angrebet skal virke, det har brug for en eksisterende softwaresårbarhed, typisk et hukommelseslæse-/skriveproblem, som det bliver til en mere farlig udnyttelse. Dette kan derefter føre til vilkårlig eksekvering af kode. Men, at være succesfuld, angrebsscenariet skal have PAC-værdien for en bestemt offermarkør. Dette opnås ved at skabe det såkaldte PAC Oracle, eller evnen til at fortælle, om en PAC matcher en specificeret pointer, under disse forhold:
PAC Oracle må aldrig gå ned, hvis der gives et forkert gæt.
Vi råtvinger derefter alle mulige PAC-værdier ved hjælp af PAC Oracle.
Med andre ord, "Nøgleindsigten i vores PACMAN-angreb er at bruge spekulativ eksekvering til snigende at lække PAC-verifikationsresultater via mikroarkitektoniske sidekanaler," ifølge rapporten.
For at kunne arbejde, angrebet er afhængigt af noget, som holdet kaldte PACMAN-gadgets. Disse gadgets indeholder to operationer:
- En pointerverifikationsoperation, der spekulativt verificerer rigtigheden af en gættet PAC;
- En transmissionsoperation, der spekulativt transmitterer verifikationsresultatet via en mikroarkitektonisk sidekanal.
Er PACMAN udnyttet i naturen? Så vidt forskerne ved, der er ingen kendte aktive angreb. Holdet har været i samtaler med Apple siden 2021.
Fuldstændig teknisk afsløring af angrebet er tilgængelig i den originale rapport [PDF].
M1RACLES Sårbarhed rapporteret i maj 2021
Sidste år, en sårbarhed, der påvirker Apple Silicon M1-chippen, blev opdaget, kendt som M1RACLES og CVE-2021-30747. Fejlen i designet af Apple Silicon M1-chippen kunne gøre det muligt for to applikationer, der kører under et OS, at udveksle data i det skjulte mellem dem, uden at bruge hukommelse, stikkontakter, filer, eller andre normale operativsystemfunktioner. Dette kan fungere mellem processer, der kører som forskellige brugere og under forskellige privilegieniveauer, oprettelse af en skjult kanal til skjult dataudveksling.