Uma equipe de pesquisadores do MIT CSAIL divulgou recentemente o PACMAN, “um novo ataque de hardware que pode ignorar a autenticação de ponteiro (PAC) na CPU Apple M1.” O ataque é baseado em ataques de execução especulativa para contornar um mecanismo de proteção de memória central, conhecido como autenticação de ponteiro ARM, que é um recurso de segurança para integridade do ponteiro.
O que é PACMAN e como isso afeta a Apple?
Em sua essência, PACMAN é uma técnica de exploração que não pode ser usada sozinha para comprometer um sistema operacional. “Embora os mecanismos de hardware usados pelo PACMAN não possam ser corrigidos com recursos de software, erros de corrupção de memória podem ser,”A equipe notou.
A brecha decorre dos códigos de autenticação de ponteiro, brevemente conhecido como PACs, que são uma parte de segurança da arquitetura arm64e com o objetivo de proteger contra alterações inesperadas nos ponteiros. disse brevemente, ponteiros são objetos que armazenam um endereço de memória na memória.
PACMAN foi descrito como uma combinação de um co-ataque de software e hardware. Para o ataque funcionar, ele precisa de uma vulnerabilidade de software existente, normalmente um problema de leitura/gravação de memória que se transforma em uma exploração mais perigosa. Isso poderia levar à execução arbitrária de código. Contudo, Ser bem sucedido, o cenário de ataque precisa ter o valor PAC para um ponteiro de vítima específico. Isso é feito criando o chamado PAC Oracle, ou a capacidade de dizer se um PAC corresponde a um ponteiro especificado, sob estas condições:
O PAC Oracle nunca deve falhar se uma estimativa incorreta for fornecida.
Em seguida, forçamos todos os valores de PAC possíveis usando o PAC Oracle.
Em outras palavras, “O principal insight do nosso ataque PACMAN é usar a execução especulativa para vazar furtivamente os resultados da verificação do PAC por meio de canais laterais de microarquitetura,” conforme o relatório.
Para trabalhar, o ataque se baseia em algo que a equipe apelidou de gadgets PACMAN. Esses gadgets contêm duas operações:
- Uma operação de verificação de ponteiro que verifica especulativamente a exatidão de um PAC adivinhado;
- Uma operação de transmissão que transmite especulativamente o resultado da verificação por meio de um canal lateral de microarquitetura.
O PACMAN é explorado na natureza? Até onde os pesquisadores sabem, não há ataques ativos conhecidos. A equipe está em negociações com a Apple desde 2021.
A divulgação técnica completa do ataque está disponível no relatório original [PDF].
Vulnerabilidade M1RACLES relatada em maio 2021
Ano passado, foi descoberta uma vulnerabilidade que afeta o chip Apple Silicon M1, conhecido como M1RACLES e CVE-2021-30747. A falha no design do chip Apple Silicon M1 pode permitir que dois aplicativos executados em um sistema operacional troquem dados secretamente entre eles, sem usar memória, tomadas, arquivos, ou qualquer outro recurso normal do sistema operacional. Isso pode funcionar entre processos executados como diferentes usuários e sob diferentes níveis de privilégio, criando um canal secreto para troca sub-reptícia de dados.