Pacman: el exploit que afecta a chips M1 de Apple que no puede parchearse a nivel hardware

Los chips M1 de Apple son la primera familia de chips de Apple que representan la transición de la compañía a los chips basados en núcleos ARM, que ha montado ya en varios modelos de sus dispositivos. Uno de sus puntos más importantes, además del rendimiento, es la seguridad. De hecho, en su diseño, Apple creó varias capas de seguridad, y cada una de ellas está pensada para proteger al chip, y por tanto al dispositivo, de un atacante que ya haya tenido éxito en penetrar en las anteriores. Su capa final es una función de seguridad conocida como PAC, y debería ser lo máximo en seguridad en estos chips. Pero según Macworld ya se ha visto comprometida por una vulnerabilidad hardware conocida como PACMAN.

Esta vulnerabilidad es un ataque hardware que permite saltarse la Autenticación mediante punteros, la mencionada PAC, de los chips M1, y explota un bug de software actual para llevar a cabo este salto, que puede desembocar en la ejecución de código arbitraria en el equipo.

Para descubrir este ataque, los investigadores de seguridad que lo estudiaron, del MIT CSAIL, emplearon un concepto ya existente de la vulnerabilidad Spectre, así como su aplicación en entornos x86. Los investigadores realizaron el ataque de manera remota, aunque en un entorno controlado, y demostraron que funciona si quien ataca tiene permiso de ejecución de código sin privilegios.

PACMAN actúa sobre el hardware y el software, y explota la construcción a nivel de microarquitectura del chip para ejecutar código de manera arbitraria. El exploit crea una función que se encarga de comprobar si un puntero concreto coincide con su autenticación. Este nunca se detiene si se envía una opción incorrecta.

El ataque, por otro lado, emplea la técnica de fuerza bruta con todos los valores posibles para el PAC mediante la función e intenta cargar el puntero de manera especulativa en los buffers de traducción adelantada, o TLBs. Estos están llenos con direcciones mínimas, necesarias para ofrecer una sección TSB en concreto. Si se expulsa cualquier dirección del TLB, es probable un éxito de carga, y el bug puede tomar su puesto con una dirección de memoria autentificada de forma falsa.

Apple es consciente de este problema, y los investigadores que lo descubrieron llevan hablando sobre el tema con la compañía desde 2021. El mantenimiento del software actualizado para evitar problemas de seguridad es imprescindible, ya que estos bugs de corrupción de memoria son parcheables. Eso sí, la parte hardware de este exploit no puede parchearse por un problema que afecta a los procesadores ARM que utilizan la Autenticación de punteros, y no solo al M1.

Por eso, Joseph Ravichandran, uno de los autores del estudio que explica cómo opera PACMAN, ha subrayado que «los diseñadores de CPU del futuro deberían tener en cuenta este ataque cuando desarrollen los sistemas seguros del futuro. Los desarrolladores deberían tener cuidado no solo de que la autenticación de puntero proteja su software«. Porque PACMAN muestra que la autenticación por punteros no es completamente infalible, así que los desarrolladores no deberían confiar únicamente en ella.

No obstante, dado que para que este tipo de exploits necesitan que funcione tanto su fallo de software como el de hardware, los usuarios no tendrán nada de que preocuparse, ya que el exploit de software sí cuenta con parche, lo que desactiva el funcionamiento de PACMAN.