Un equipo de investigadores de MIT CSAIL reveló recientemente PACMAN, “un nuevo ataque de hardware que puede eludir la autenticación de puntero (PAC) en la CPU Apple M1”. El ataque se basa en ataques de ejecución especulativa para eludir un mecanismo central de protección de la memoria., conocido como ARM Pointer Authentication, que es una característica de seguridad para la integridad del puntero.
Qué es PACMAN y cómo afecta a Apple?
en su esencia, PACMAN es una técnica de explotación que no puede utilizarse por sí sola para comprometer un sistema operativo. “Si bien los mecanismos de hardware utilizados por PACMAN no se pueden parchear con funciones de software, Los errores de corrupción de memoria pueden ser,"El equipo señaló.
La laguna se deriva de los códigos de autenticación de puntero, conocidos en breve como PAC, que son una parte de seguridad de la arquitectura arm64e con el objetivo de proteger contra cambios inesperados en los punteros. Poco dicho, los punteros son objetos que almacenan una dirección de memoria en la memoria.
PACMAN ha sido descrito como una combinación de un ataque conjunto de software y hardware.. Para que el ataque funcione, necesita una vulnerabilidad de software existente, típicamente un problema de lectura/escritura de memoria que se convierte en un exploit más peligroso. Esto podría conducir a la ejecución de código arbitrario. Sin embargo, para tener éxito, el escenario de ataque debe tener el valor PAC para un indicador de víctima en particular. Esto se logra creando el llamado PAC Oracle, o la capacidad de saber si un PAC coincide con un puntero específico, bajo estas condiciones:
El PAC Oracle nunca debe fallar si se proporciona una suposición incorrecta.
Luego aplicamos fuerza bruta a todos los valores PAC posibles usando el PAC Oracle.
En otras palabras, “La idea clave de nuestro ataque PACMAN es utilizar la ejecución especulativa para filtrar sigilosamente los resultados de verificación de PAC a través de canales laterales de microarquitectura.,” según el informe.
Para que funcione, el ataque se basa en algo que el equipo denominó dispositivos PACMAN. Estos gadgets contienen dos operaciones:
- Una operación de verificación de puntero que verifica especulativamente la corrección de un PAC adivinado;
- Una operación de transmisión que transmite especulativamente el resultado de la verificación a través de un canal lateral de microarquitectura.
¿Se explota PACMAN en la naturaleza?? Hasta donde los investigadores saben, no hay ataques activos conocidos. El equipo ha estado en conversaciones con Apple desde 2021.
La divulgación técnica completa del ataque está disponible en el informe original. [PDF].
Vulnerabilidad de M1RACLES reportada en mayo 2021
El año pasado, se descubrió una vulnerabilidad que afecta al chip Apple Silicon M1, conocido como M1RACLES y CVE-2021-30747. La falla en el diseño del chip Apple Silicon M1 podría permitir que dos aplicaciones que se ejecutan en un sistema operativo intercambien datos de forma encubierta entre ellas., sin usar memoria, zócalos, archivos, o cualquier otra característica normal del sistema operativo. Esto podría funcionar entre procesos que se ejecutan como diferentes usuarios y con diferentes niveles de privilegios., crear un canal encubierto para el intercambio subrepticio de datos.