Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

PACMAN Attack: le CPU Apple M1 ora sono a rischio

Redazione RHC : 11 Giugno 2022 13:42

I ricercatori di sicurezza del Massachusetts Institute of Technology hanno scoperto una vulnerabilità nel chip Silicon M1 di Apple che gli consente di aggirare il più alto livello di sicurezza, il Pointer Authentication Code (PAC).

Il cosiddetto attacco PACMAN al chip M1 ha consentito agli ingegneri il pieno accesso al computer.

L’autenticazione del puntatore è una funzionalità di sicurezza che aiuta a proteggere la CPU da un utente malintenzionato che ha avuto accesso alla memoria. I puntatori memorizzano gli indirizzi di memoria e il codice di autenticazione del puntatore (PAC) verifica la presenza di modifiche impreviste del puntatore causate da un attacco.

Cos’è PACMAN Attack

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?

Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". 
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.  
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. 
Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com
Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]



Supporta RHC attraverso:
 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
 

PACMAN è un nuovo attacco hardware in grado di bypassare l’autenticazione del puntatore (PAC) sulla CPU Apple M1

Il gruppo di ricerca ha puntato l’attenzione su:

  • Un nuovo modo di pensare alla combinazione di modelli di minacce;
  • Sul reverse engineering della gerarchia della memoria M1;
  • Sugli attacchi hardware per falsificare i PAC del kernel dallo spazio utente su M1 .

PACMAN è ciò che ottieni combinando una mitigazione hardware per gli attacchi software con canali laterali di microarchitettura. Di seguito uno schema riportato dal gruppo di ricerca.

PACMAN si trova nell’intersezione di attacchi software e hardware.

Leggi il documento qui

Quali CPU sono interessate?

I ricercatori hanno mostrato che PACMAN può funzionare sulla CPU Apple M1.

L’attacco è sul kernel, che è la parte più critica di un sistema operativo. Compromettere il kernel significa che un utente malintenzionato può fare qualsiasi cosa (es. leggere qualsiasi file, vedere i dati del browser, ecc.).

Chi ha scoperto PACMAN?

PACMAN è stato scoperto dai ricercatori del MIT CSAIL. gli autori sono:

Questo attacco richiede l’accesso fisico?

No! In realtà i ricercatori hanno predisposto gli hack attraverso la rete. PACMAN funziona bene da remoto se hai l’esecuzione di codice senza privilegi.

Dovrei essere preoccupato?

Finché mantieni aggiornato il tuo software, no.  PACMAN è una tecnica di sfruttamento: di per sé non può compromettere il tuo sistema. 

Posso sapere se qualcuno sta usando PACMAN contro di me?

Proprio come l’attacco Spectre, su cui si basa il lavoro dei ricercatori, PACMAN viene eseguito interamente in regime speculativo e non lascia registri. Quindi la risposta è “probabilmente no “.

Come inizia l’attacco

L’attacco inizia caricando una kernel extension personalizzata (kext). Questo kext fa due cose:

  1. aggiunge un bug software artificiale al kernel da attaccare
  2. aggiunge un gadget PACMAN. 

Nessuna di queste cose richiede un kext: un utente malintenzionato può trovarle entrambe nel kernel. Un utente malintenzionato con un bug del software non ha bisogno di un kext.

Perché hai bisogno di un bug del software per eseguire l’attacco PACMAN?

PACMAN prende un bug del software esistente (lettura/scrittura della memoria) e lo trasforma in una primitiva più potente (bypass dell’autenticazione del puntatore). Per la demo, i ricercatori hanno aggiunto un bug al kernel usando un kext.

In un attacco, basta trovare un bug del kernel esistente.

La demo usa il kext solo per aggiungere un bug del software. L’intero attacco viene eseguito nello spazio utente. Quindi, un utente malintenzionato con un bug già esistente potrebbe eseguire lo stesso attacco senza la kext.

PACMAN viene utilizzato?

Per il momento, a detta dei ricercatori ancora no.

Apple conosce il bug?

I ricercatori hanno segnalato i risultati e il codice proof-of-concept ad Apple e sono in contatto con loro dal 2021.

Come funziona PACMAN?

PACMAN prende un bug del software esistente (lettura/scrittura della memoria) e lo trasforma in una primitiva di sfruttamento più seria (un bypass dell’autenticazione del puntatore), che può portare all’esecuzione di codice arbitrario.

Per fare ciò, dobbiamo imparare qual è il valore PAC per un particolare puntatore della nostra vittima.

PACMAN lo fa creando quello che chiamiamo PAC Oracle, che è la capacità di dire se un dato PAC corrisponde a un puntatore specificato. Il PAC Oracle non deve mai arrestarsi in modo anomalo se viene fornita un’ipotesi errata. Quindi viene eseguito un attacco di forza bruta su tutti i possibili valori PAC utilizzando PAC Oracle.

Un attacco sia hardware che software.

Vengono quindi soppressi gli arresti anomali eseguendo ogni ipotesi PAC in modo speculativo per prevenire eventuali arresti anomali. Viene utilizzato quindi un canale laterale per sapere se il PAC ipotizzato è corretto.

Un gadget PACMAN è una sequenza di codice nel processo della vittima che si autentica e cerca di utilizzare un puntatore in modo speculativo. 

Si utilizza quindi un bug di danneggiamento della memoria esistente e un gadget PACMAN per costruire PAC Oracle. Il bug di danneggiamento della memoria esistente viene utilizzato per fornire delle ipotesi al gadget PACMAN (sovrascrivendo i puntatori che vengono utilizzati solo in modo speculativo). Il gadget PACMAN esegue il test case in modo speculativo. Panoramica

Panoramica dell’oracolo PACMAN PAC.

Gadget PACMAN

In linea di principio, un gadget PACMAN è una sequenza di codice che utilizza un puntatore con segno in modo speculativo. Ecco come appare un gadget:

if (cond):
    verified_ptr <- aut(guess_ptr)
    load(verified_ptr)

Un gadget PACMAN.

L’attaccante controlla la variabile cond attivando il gadget PACMAN della vittima (ad es. impostando un argomento syscall). L’attaccante controlla il valore di guess_ptr con il bug di danneggiamento della memoria.

Il canale laterale

L’attacco può utilizzare qualsiasi microarchitettura come un canale laterale. Si è utilizzato quindi il buffer lookaside (TLB).

Si riempie il TLB con un set di eliminazione (un set minimo di indirizzi richiesto per riempire un set particolare nel TLB), quindi si eseguono i test case.

Osserviamo il TLB per vedere se qualcuno degli indirizzi di set viene eluso. Se uno è stato eluso, è probabile che il caricamento sia riuscito (poiché l’indirizzo caricato ha espulso il nostro indirizzo dal TLB). Altrimenti, è probabile che l’ipotesi fosse sbagliata.

Precisione

Ecco un confronto tra il numero di set mancati che osserviamo utilizzando il PAC corretto e il PAC errato.

PrecisionePrecisione dell’attacco PACMAN.(a) Puntatori di dati, (b) Puntatori di istruzioni.

L’asse X è il numero di errori (quindi, il numero di elementi dei set che sono stati eliminati durante il test) e l’asse Y è il numero di casi di test in cui è stato osservato quel numero di errori.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

SoopSocks: il pacchetto PyPI che sembrava un proxy ma era una backdoor per Windows
Di Antonio Piazzolla - 04/10/2025

La storia di SoopSocks è quella che, purtroppo, conosciamo bene: un pacchetto PyPI che promette utilità — un proxy SOCKS5 — ma in realtà introduce un impianto malevolo ben orchestrato. Non stia...

L’informatica non è più una carriera sicura! Cosa sta cambiando per studenti e aziende
Di Redazione RHC - 04/10/2025

Per decenni, l’informatica è stata considerata una scelta professionale stabile e ricca di opportunità. Oggi, però, studenti, università e imprese si trovano davanti a un panorama radicalmente m...

Quando l’hacker si ferma al pub! Tokyo a secco di birra Asahi per un attacco informatico
Di Redazione RHC - 03/10/2025

Lunedì scorso, Asahi Group, il più grande produttore giapponese di birra, whisky e bevande analcoliche, ha sospeso temporaneamente le sue operazioni in Giappone a seguito di un attacco informatico c...

Criminal Hacker contro Anziani! Arriva Datzbro: Facebook e smartphone nel mirino
Di Redazione RHC - 03/10/2025

Una nuova campagna malevola sta utilizzando Facebook come veicolo per diffondere Datzbro, un malware Android che combina le caratteristiche di un trojan bancario con quelle di uno spyware. L’allarme...

Oltre lo schermo: l’evento della Polizia Postale per una vita sana oltre i social
Di Marcello Filacchioni - 03/10/2025

La Community di Red Hot Cyber ha avuto l’opportunità di partecipare a “Oltre lo schermo”, l’importante iniziativa della Polizia Postale dedicata ai giovani del 2 ottobre, con l’obiettivo di...