Information Security Systems

Compromission physique par le bus PCI

Christophe Devine / Guillaume VissianSSTIC, 3 Juin 2009

2

<IS

S –

SS

TIC

200

9 –

Com

prom

issi

on p

hysi

que

par

le b

us P

CI

Introduction

De quoi allons-nous parler ? La plupart des ordinateurs portables ont un port PC Card

Les nouveaux modèles, un port ExpressCard (ou les deux)

Point de vue du public : sans danger NdA : Tout comme le FireWire il y a 4 ans.

Pourtant: le protocole PCI et l’architecture x86 fournit un accès DMA (« direct memory access ») non restreint via le port PC Card

Accès à la mémoire physique : à quel point est-ce dangereux? Compromission complète du système (noyau), voire SMRAM ou tables

ACPI ? Rapide et furtif, Plug-and-pwn Possibilité de ne laisser aucune trace disque (forensics) Plusieurs méthodes de persistance: modification du MBR, re-flash du

BIOS, …

3

<IS

S –

SS

TIC

200

9 –

Com

prom

issi

on p

hysi

que

par

le b

us P

CI

État de l’art

Travaux précédents : Silvio Cesare (1998), sd & devik (2001) : compromission au

travers de /dev/{k}mem sous Linux crazylord (2002) : compromission via \Device\PhysicalMemory Brian Carrier et Joe Grand (2004) : acquisition de mémoire

physique depuis le bus PCI Maximillian Dornseif (2005) et Adam Boileau (2006) :

compromission par un port FireWire Nicolas Ruff et Matthieu Suiche (2007) : le fichier d’hibernation Joanna Rutkowska (2007) : defeating hardware RAM acquisition Damien Aumaitre (2008) : voyage au cœur de la mémoire

Utilisation offensive de PC Card mentionnée par : David Hulton à Schmoocon’06 (mais rien en ligne) J. Rutkowska (2007), invisiblethings.com Nicolas Ruff (2008)

4

<IS

S –

SS

TIC

200

9 –

Com

prom

issi

on p

hysi

que

par

le b

us P

CI

Notre contribution

Au delà de l’attaque théorique: développement d’un « proof of concept » concret Utile dans certains scénario (tests d’intrusion par exemple)

Documenter notre démarche expérimentale et les problèmes d’implémentation rencontrés

Faire prendre conscience du danger posé par les attaques depuis le bus PCI ou PCI express

5

<IS

S –

SS

TIC

200

9 –

Com

prom

issi

on p

hysi

que

par

le b

us P

CI

Clarification des termes

PCI : Peripheral Component Interconnect Début du développement par Intel in 1992, peu de changements

depuis Adresse ou donnée sur 32-bit, horloge à 33 MHz au maximum Aujourd’hui utilisé pour des périphériques basse vitesse : audio, … Quelques variations : horloge à 66-MHz, bus de 64 bits, PCI-X (à ne

pas confondre avec PCI Express), AGP (2001)

“PC Card” = format physique (type I, II, III)

Deux protocoles électriques utilisés par les cartes PC Cards PCMCIA : années 90, 16-bit (similaire à ISA) Cardbus : 32-bit, depuis 2000. Très proche de PCI

PCI Express / ExpressCard Différent du PCI, mais autorise aussi le DMA

6

<IS

S –

SS

TIC

200

9 –

Com

prom

issi

on p

hysi

que

par

le b

us P

CI

Explication de la vulnérabilité

N’importe quel périphérique PCI peut demander le contrôle du bus Typiquement, pour lire ou écrire dans la mémoire de la cible Communément appelé “bus mastering” ou “direct memory access” Chaque cible décode l’adresse physique et répond si cela correspond

à sa propre plage mémoire Exemple: 0 MiB – 1024 MiB Mémoire DDR principale du PC [troutrou ftw] 3072 MiB – 3200 MiB mémoire LAN interne 3200 MiB – 3456 MiB mémoire graphique interne

Le contrôleur mémoire (Northbridge) est responsable de la gestion des requêtes d’accès à la DRAM.

Les CPU x86 (sauf les plus récents) n’implémentent pas d’unité de contrôle des E/S mémoire (IOMMU)

Pas de support dans les systèmes d’exploitation

7

<IS

S –

SS

TIC

200

9 –

Com

prom

issi

on p

hysi

que

par

le b

us P

CI

Avantages de l’attaque

Difficile à détecter par le système d’exploitation Nous ne répondons pas aux requêtes vers l’espace de configuration

Pas d’apparition de nouveaux périphériques (pop-up) Plus furtif que les accès DMA via FireWire (qui demandent un driver)

Très rapide Avec une horloge à 33 MHz, l’accès total est de quelques secondes. Permet une compromission rapide du PC / poste nomade cible

Difficile à bloquer Mais nous verrons des mesures de protections dans la conclusion

8

<IS

S –

SS

TIC

200

9 –

Com

prom

issi

on p

hysi

que

par

le b

us P

CI

À la recherche du hardware perdu

L’attaque requiert l’accès direct au bus PCI

La plupart des chipsets PCI / Cardbus standards implémentent le PCI en interne Pas d’accès bas-niveau Solution : utiliser un FPGA (logique programmable)

Choix du hardware: Carte PCI, Raggedstone1 (environ 120 $) Carte Cardbus, COM-1300-C (environ 300 $)

9

<IS

S –

SS

TIC

200

9 –

Com

prom

issi

on p

hysi

que

par

le b

us P

CI

Firmware FAIL

Raggedstone1 et COM-1300-C ont quelques problèmes Réponse du vendeur: “on y travaille !”

Raggedstone1 empêche le système de booter Le BIOS stoppe, parfois des écrans bleus… Concerne les systèmes Core 2 les plus récents. Solution temporaire : re-flasher le firmware depuis un autre PC

COM-1300-C ne peut être flashée sur les ordinateurs récents Message d’erreur: « Memory Program Failed » Peut-être lié à la gestion de l’alimentation (CCLKRUN#) ? Solution temporaire : utiliser un vieil ordinateur (2002) pour flasher

10

<IS

S –

SS

TIC

200

9 –

Com

prom

issi

on p

hysi

que

par

le b

us P

CI

Remerciements spéciaux

Pierre T. pour sa contribution active à la découpe de câble en urgence

Allez Pierre ! Tu y es presque

11

<IS

S –

SS

TIC

200

9 –

Com

prom

issi

on p

hysi

que

par

le b

us P

CI

À la recherche de la documentation

Les spécifications PCI et PC Card sont payantes Specs. propriétaires (et chères). Google est votre ami ! PC Card Standard, volume 2: Electrical Specification

Beaucoup de documentation en ligne sur le VHDL Peter J. Ashenden – The VHDL Cookbook – 1990 Hwang – Microprocessor Design with VHDL – 2004 De nombreux cours et tutoriaux, par ex. EPFL/LAP+LSL

Différents codes sources VHDL dispo. sur opencores.org En particulier : rs1_7seg_pci, exemple de bloc PCI pour RS1 Aussi, ComBlock fournit des sources VHDL partielles

12

<IS

S –

SS

TIC

200

9 –

Com

prom

issi

on p

hysi

que

par

le b

us P

CI

Quelques bases des circuits digitaux

De quoi les puces sont-elle composées ? Manifestement des transistors (beaucoup), technologie CMOS Un transistor est principalement un composant d’amplification du signal

Utilisé dans les circuit électriques en tant que switch (valve électrique)

Interconnectés pour créer: Une logique combinatoire, A <= B et C Des éléments à mémoire (“flip-flops”), mis à jour sur un évènement

(front d’horloge)

Exemple: inverseur

13

<IS

S –

SS

TIC

200

9 –

Com

prom

issi

on p

hysi

que

par

le b

us P

CI

Bases des signaux électriques

Plein de valeurs possibles : Fortement forcé, ‘0’ (terre) or ‘1’ (environ Vcc) Faiblement forcé, ‘L’ (“état bas” faible) ou ‘H’ (“état haut” faible)

Des résistances sont utilisées pour créer les signaux “faibles” Lit ‘0’ ou ‘1’, mais peut être outrepassé

Flottant (impédance haute, ‘Z’)

Attention aux temps de propagation des signaux Dépend de la complexité de la logique combinatoire Le délai pour atteindre un état stable limite la vitesse d’horloge

maximale

Toute la logique combinatoire s’exécute en parallèle Les éléments à mémoire sont mis à jour au front montant suivant

14

<IS

S –

SS

TIC

200

9 –

Com

prom

issi

on p

hysi

que

par

le b

us P

CI

Flot d’implémentation du matériel

1. Synthèse Code de haut niveau compilé dans des blocs : flip-flops,

adders…

2. Simulation du comportement Création d’un banc de test et vérification que le design se

comporte comme prévu

3. Translation, mapping & routage Des contraintes externes (pins) sont appliquées Les blocs de base sont mappés dans les ressources du FPGA

Look-up tables, registres, ressources de routage

4. Génération du fichier de programmation

5. Programmation du matériel

15

<IS

S –

SS

TIC

200

9 –

Com

prom

issi

on p

hysi

que

par

le b

us P

CI

Le PCI bus-mastering démystifié

En majuscules : signaux contrôlés par la carte Cardbus

En minuscules : signaux contrôlés par la cible (bridge)

Ci-dessous : exemple d’écriture de 4 octets

16

<IS

S –

SS

TIC

200

9 –

Com

prom

issi

on p

hysi

que

par

le b

us P

CI

Des signaux PCI

Tous les signaux sont “actifs bas” (#) 0 = actif, 1 = inactif Explication électrique possible : la coupure d’un fil lit 1 par défaut

Reset et horloge : CRST#, CCLK, CCLKRUN#

Requête de bus-mastering : CREQ# , CGNT#

Byte enable, data, parité : CBE#[4], CAD[32], CPAR

Signaux contrôlés par le maitre : CFRAME#, indique qu’il reste des DWORD à traiter CIRDY#: indique que le master est prêt à lire ou écrire

Signaux contrôlés par la cible : CDEVSEL#: indique que la cible répond à la requête CTRDY#: indique que la cible est prête à lire ou écrire

17

<IS

S –

SS

TIC

200

9 –

Com

prom

issi

on p

hysi

que

par

le b

us P

CI

Toujours plus de signaux PCI !

CFRAME# doit être mit en état haut (‘H’) suivant les specs Sinon certains PC portables gèlent Aussi CINT# (interruption de l’hôte) et CSERR# (signal d’erreur) en

état haut

CCLKRUN# Les PC portables récents ont une gestion d’énergie agressive Mis à 0 afin d’empêcher le contrôleur Cardbus de désactiver notre

horloge Ne respecte pas les specs., mais on s’en fiche – ça marche ;p

Beaucoup d’autres signaux laissés en flottant Signaux d’erreurs ignorés (encore une fois non respect des specs.) Toutes autres requêtes, notamment Configuration Space, sont

ignorées par la carte

18

<IS

S –

SS

TIC

200

9 –

Com

prom

issi

on p

hysi

que

par

le b

us P

CI

(Ré) implementation de l’attaque winlockpwn

Patche MSV1_0.dll afin d’autoriser le login avec n’importe quel mot de passe Windows XP, offset / data codé en dur Patche la fonctionMsvpPasswordValidate()

Machine à état :

Démo time!

19

<IS

S –

SS

TIC

200

9 –

Com

prom

issi

on p

hysi

que

par

le b

us P

CI

La conception d’un CPU (1/5)

Pourquoi avoir conçu et implémenté un processeur ? Les machines à état complexes sont difficiles à coder en VHDL Permet l’implémentation de fonctions évoluées, itération Pour mettre notre propre opcode backdoor dedans :p Le code x86 à injecter est sur le FPGA dans un BlockRAM Relativement furtif

Pour s’amuser à coder avec des zéros et des uns !

Une expérience enrichissante

20

<IS

S –

SS

TIC

200

9 –

Com

prom

issi

on p

hysi

que

par

le b

us P

CI

La conception d’un CPU (2/5)

Design: Architecture type RISC 256 registres généraux 3 bits conditionnel

V[ulnérable] (int/float overflow) N[égatif] et Z[ero]

PC (Program Counter)

Unité de contrôle ALU (Arithmetic Logical Unit) :

Un jeu d’opérations basiques add, sub, mul, shl, etc. Opère sur des mots de 32 bits

Un jeu d’opération “plus évoluées” br, bnz, brz, ...

21

<IS

S –

SS

TIC

200

9 –

Com

prom

issi

on p

hysi

que

par

le b

us P

CI

La conception d’un CPU (3/5)

Listing partiel des opcodes implémentés:Instruction Opcode (Hex) Opérande Destination

add 00 r1,r2 r3

sub 01 r1,r2 r3

mul 02 r1,r2 r3

div 03 r1,r2 r3

cmp 04 r1,r2 r3

or 05 r1,r2 r3

and 08 r1,r2 r3

addq (Add quick)

10 r1,ld r3

br (branch) 40 PC + addr 32b PC

bri (indexed branch)

41 r1 + addr 32b PC

brq 50 PC+lb PC

brz 42 r1 + addr 32b PC

shl 60 r1,r2 r3

22

<IS

S –

SS

TIC

200

9 –

Com

prom

issi

on p

hysi

que

par

le b

us P

CI

La conception d’un CPU (4/5)

Exemple d’implémentation: la procédure add

procedure add (result : inout bit_32; op1, op2 : in integer; V, N, Z : out bit) is begin if op2 > 0 and op1 > integer'high-op2 then int_to_bits(((integer'low+op1)+op2)-integer'high-1, result); V := '1'; elsif op2 < 0 and op1 < integer'low-op2 then int_to_bits(((integer'high+op1)+op2)-integer'low+1, result); V := '1'; else int_to_bits(op1 + op2, result); V := '0'; end if; N := result(31); Z := bool_to_bit(result = X"0000_0000"); end add;

23

<IS

S –

SS

TIC

200

9 –

Com

prom

issi

on p

hysi

que

par

le b

us P

CI

La conception d’un CPU (5/5)

Un aperçu de l’ALU --[...] begin --[...] memoryread(PC, true, current_instr); -- Read the memory ... if reset /= '1' then add(PC, bits_to_int(PC), 1, temp_V, temp_N, temp_Z); op := current_instr(31 downto 24); -- Get next instruction opcode r3 := bits_to_natural(current_instr(23 downto 16)); r1 := bits_to_natural(current_instr(15 downto 8)); r2 := bits_to_natural(current_instr(7 downto 0)); i8 := bits_to_int(current_instr(7 downto 0)); -- Call the required function case op is -- [...] when op_br => -- Basic branch memory_read(PC, true, displacement); if reset /= '1' then add(PC, bits_to_int(PC), 1, temp_V, temp_N, temp_Z); add(effective_addr, bits_to_int(PC), bits_to_int(displacement),temp_V, temp_N); if ((cm_V and cc_V) or (cm_N and cc_N) or (cm_Z and cc_Z))= cm_i then PC := effective_addr; end if; end if; -- [...] end case; end if; end process;end behaviour;

24

<IS

S –

SS

TIC

200

9 –

Com

prom

issi

on p

hysi

que

par

le b

us P

CI

Injection de code x86

Cas retenu : Windows x86

Problème : Pas d’accès à la mémoire virtuelle, les pages peuvent être

partout en mémoire physique…

Possibilités : Reconstruire la disposition de la mémoire virtuelle depuis les

objets noyau (difficile) Utiliser un point fixe, par ex.: adresse de chargement du noyau Supposer la non fragmentation des images PE

Mapping linéaire entre physique / virtuel Injecter un 1er shellcode dans un “trou” r-x (fin de .text) Mettre un hook inline afin d’appeler le shellcode Le shellcode alloue la mémoire et place des marqueurs afin

que le FPGA les détecte et insère le shellcode de 2ème niveau

25

<IS

S –

SS

TIC

200

9 –

Com

prom

issi

on p

hysi

que

par

le b

us P

CI

Injection de code x86

Quel processus doit être hooké ?

Notre choix: winlogon.exe Plus particulièrement: SASWndProc(), Privilèges SYSTEM, plus le confort d’un environnement Win32 Conservé sur les différentes versions de Windows

Note : Les protections MMU (pages en lecture seule) sont outrepassées Les accès DMA ne passent pas par la MMU du CPU

Note : Espace d’adresse pour les instructions Load/Store 0x0000 0x7FFF : BlockRAM interne au FPGA Au-dessus: redirigé vers l’espace d’adressage PCI

Travail en cours…

26

<IS

S –

SS

TIC

200

9 –

Com

prom

issi

on p

hysi

que

par

le b

us P

CI

Protections

Méthode simple : Mettre de la colle à l’intérieur des ports PCI et PC Card Tout le monde n’en a pas forcément envie…

Sur les portables: désactiver les pilotes Cardbus Penser aussi à désactiver les pilotes FireWire

Les nouveaux processeurs ont une IOMMU Doit être activé dans le noyau (CONFIG_DMAR) Ce n’est pas le cas sur le .config du noyau Debian

Autres protections Joanna Rutkowska (2007) : il est possible de configurer le bus

HyperTransport afin de causer un déni de service Si plus de 4 GiB de RAM, patcher le kernel pour réserver les 4

premiers giga-octets aux accès DMA

27

<IS

S –

SS

TIC

200

9 –

Com

prom

issi

on p

hysi

que

par

le b

us P

CI

Conclusion

Le protocole PCI et l’architecture x86 ont été conçus à un moment où la sécurité matérielle était inexistante…

Les consoles de jeu modernes sont plus évoluées Xbox360 : une clef unique par CPU PS3 : pas encore d’attaque réussie

Informatique de confiance, cf. Loïc Duflot (2008, 2009) Intel TXT, IOMMU (VT-d) très peu utilisés

Futurs travaux Porter l’attaque sur ExpressCard, tester les adaptateurs Améliorer la porte dérobée afin de travailler avec d’autres OS

(Linux) Contourner l’IOMMU en ciblant d’autre périphériques du bus

28

<IS

S –

SS

TIC

200

9 –

Com

prom

issi

on p

hysi

que

par

le b

us P

CI

Q & A

Merci pour votre attention !

ce panda a compris la norme PCI !