上周在拉斯维加斯举行的Black Hat 2018和DEF CON 26安全会议上，一位安全研究人员为大家详细介绍了基于x86的VIA（威盛） C3处理器的后门机制，该处理器是由台湾VIA Technologies Inc于2001年至2003年间生产和销售的CPU系列。

受影响的CPU系列在设计时考虑了PC的使用，但更广为人知的是它部署了销售点设备、智能信息亭、ATM、游戏设备、医疗保健设备和工业自动化设备。

Rosenbridge后门机制

众所周知的硬件安全专家Christopher Domas表示，VIA C3 x86的CPU包含了一个所谓的“隐藏的上帝模式”，可让攻击者从内核ring 3（用户模式）提升恶意代码的执行级别到内核ring 0（OS内核）。请参阅此处了解CPU保护环。

Domas说，

Rosenbridge这个后门机制，是一个RISC（精简指令集计算机）协处理器，与主C3处理器并列。

研究人员说，通过使用启动指令（.byte 0x0f，0x3f），他可以启用一个寄存器控制位，而启用这个额外的协处理器，他认为不会受益于主C3芯片组的相同安全保护。

发送到此附加协处理器的任何指令都在ring 0下运行，而不是在正常ring 3级下运行。

Domas表示，他在VIA C3 Nehemiah芯片中发现了这种“隐藏的上帝模式”功能，但他表示所有其他C3芯片组都必须具有类似的机制。

专家说他在筛选专利时发现了Rosenbridge后门系统。在他的DEF CON幻灯片中，研究人员列出了US8341419、US8880851、US9292470、US9317301、US9043580、US9141389和US9146742。

但它真的是一个“后门吗？”

但在Twitter和Reddit等社交媒体网站上，其他几位硬件专家对Domas的调查结果提出了异议，称Rosenbridge可能不是真正的后门，因为它自2004年9月以来首次被官方VIA文档引用。

根据该文档（第82页），隐藏的RISC协处理器的目的是提供“备用指令集”，为硬件供应商（OEM）提供对CPU的更多控制。

该文档中写道：

这个备用指令集包括一组扩展的整数、MMX、浮点和3DNow！指令，以及x86指令架构上的附加寄存器和一些更强大的指令形式。

VIA文档还提到，附加指令集专门用于测试、调试或其他特殊用途，因此不会被“记录为一般用法”。

Rosenbridge很难利用

正如Domas解释的那样，这个有争议的“后门”，应该要求内核级的访问才能激活。

尽管如此，Domas还指出：

Rosenbridge后门机制“已被检测到在某些系统上默认启用，允许任何非特权代码修改内核”，而不需要任何预先开发。在这些情况下，攻击者只需将特制的指令发送到其他RISC处理器，这些处理器即可将他们读取并执行。

该专家发布了一个GitHub存储库，一个用于识别VIA C3 x86 CPU是否包含Rosenbridge“后门”机制的工具，并将其关闭以防止任何有意或者无意的利用。关于Rosenbbridge研究的更多细节可以在Domas的DEF CON演示文稿中找到。

对于VIA C3的研究，已经不是Domas第一次使用x86芯片组了。早在三年前，在Black Hat 2015安全会议上，Domas还详细介绍了一种类似的方法，通过系统管理模式（SMM）功能提升x86 CPU中恶意代码的执行级别。他说英特尔和AMD x86的处理器都受到了影响。