17年前の「VIA C3」プロセッサにバックドアが見つかる

　GitHubで活動するdomas氏は9日、かつてVIA Technologiesが開発したC3プロセッサに、バックドア「rosenbridge」が存在することを突き止めた。詳細はハッカー向けイベントBlackHatEventsで報告された。

　同氏によれば、VIA C3プロセッサには、メインのx86コアのそばに非x86コアが組み込まれており、このコアはmodel-specific-registerのコントロールビットによって有効になり、起動命令によって起動できる。x86命令でラップされた特別フォーマットの命令を受け、すべてのメモリ保護と特権チェックを迂回して実行できるという。

　rosenbridgeは、Intel Management EngineやPlatform Security Processorなど、一般的なx86のコプロセッサとはまったく異なり、CPUが管理するすべてのメモリだけでなく、レジスタファイルと実行ラインにもアクセスできるという、かなり深いレベルに組み込まれたコプロセッサとなっている。

　このコアを有効にするためにはカーネルレベルのアクセスが必要だが、同氏によればいくつかのシステムではデフォルトで有効になっていたという。同氏がGitHub上で公開しているデモ用のソースコードを見るかぎり、2行のアセンブラでバックドアを開き、数行のカーネルメモリ操作で管理者権限を取得できている。

　同氏は、システムでこのバックドアが有効にされているかどうかをチェックするためのプログラムや、バックドアを無効化するプログラムもGitHub上で公開している。

　C3は2001年に発表/販売されたプロセッサ。低価格/低発熱などで一世を風靡し、組み込み機器での採用実績が多い。

【18時10分追記】命令について追記しました。

　なお、C3 CPUの一部(C5系)には、隠し命令セット「Alternative Instruction Set(AIS)」が組み込まれていることがすでに明らかとなっている(関連記事:VIAの次世代CPU「Nehemiah」がMPFに登場)。これは本来CPUのデバッグ&テスト用であり、内容は特定のユーザーに秘密保守義務契約を結んだ上で公開していた。今回の“バックドア”はこの命令を利用していると見られ、命令セットが流出したか、発見されたと思われる。

GOD MODE UNLOCKED: hardware backdoors in some x86 CPUshttps://t.co/Ph0IAL0Pyw
White paper coming tomorrow.@BlackHatEventspic.twitter.com/qhZ1vFI7pL

— domas (@xoreaxeaxeax)2018年8月9日