AMD разследва доклади за недостатъци на Ryzen

АКТУАЛИЗИРАНО в края на доклада с повдигнати въпроси относно етиката на участващите изследователи по сигурността и изявление от CTS-Labs. Тази публикация първоначално е публикувана в 12:34 ч. 13 март и оттогава е актуализиран.

Изследователите са открили 13 критични уязвимости в сигурността в процесорите на AMD Ryzen и EPYC, които могат да заразят компютрите със злонамерен софтуер, да дадат на нападателите достъп до важни данни, да четат и записват файлове и да поемат изцяло чипсетите. CNET първо докладва по проблемите.

Уязвимостите бяха открити от израелската фирма за сигурност CTS-Labs, която е уведомила AMD по-малко от 24 часа преди CTS-Labs да разкрие проблемите. (Стандартната практика за изследване на сигурността е да се предостави на доставчика 90-дневно предизвестие.) Въпреки това, CTS-Labs не е уверен относно техническите подробности, което може да затрудни възпроизвеждането на атаките, използващи недостатъците.

Недостатъците и свързаните с тях атаки попадат в четири лагера, които CTS-Labs нарича Masterkey, Ryzenfall, Chimera и Fallout.

„В AMD сигурността е основен приоритет и ние непрекъснато работим, за да гарантираме безопасността на нашите потребители, когато възникнат нови рискове“, каза говорител на AMD пред ReviewsExpert.net. "Разследваме този доклад, който току -що получихме, за да разберем методологията и достойнството на констатациите."

В публикация в блога AMD хвърли съмнение върху доклада:

"Току -що получихме доклад от компания, наречена CTS Labs, в която се твърди, че има потенциални уязвимости в сигурността, свързани с някои от нашите процесори. Ние активно проучваме и анализираме констатациите й. Тази компания преди беше неизвестна за AMD и смятаме, че е необичайна за сигурността фирмата да публикува своите изследвания пред пресата, без да предоставя разумен период от време на компанията да проучи и адресира констатациите си. В AMD сигурността е основен приоритет и ние непрекъснато работим, за да гарантираме безопасността на нашите потребители при възникване на потенциални нови рискове Ще актуализираме този блог с развитието на новините. "

Masterkey може да засегне най -широкия набор от машини, включително лаптопи (работещи с Ryzen Mobile), мощни творчески машини (с Ryzen Pro) и работни станции и сървъри (работещи съответно с чипове Ryzen Workstation и EPYC Server). Атаката включва преосмисляне на BIOS, което може да стане чрез инфекция със зловреден софтуер. Успешното използване на недостатъка би позволило на нападателите да деактивират функциите за сигурност и дори да стартират нежелани програми при стартиране.

Ryzenfall, Chimera и Fallout са по-малко пряка заплаха, тъй като всеки от тях изисква от нападател да „може да стартира програма с повишени администраторски права на локална машина“ и да предостави „драйвер, подписан по цифров начин от доставчика“, според към бялата книга на изследователите. (По -прости обяснения са на новия уебсайт, посветен на популяризирането на недостатъците, AMDFlaws.com.)

Ако лошите актьори, дори и тези без директен физически достъп, притежаваха такава сила на машина, те така или иначе биха могли да правят каквото си искат. Предоставянето на подправен цифров подпис не е в рамките на уменията на повечето обикновени киберпрестъпници.

Ryzenfall дава възможност на нападателите да се насочат към всяка базирана на Ryzen машина и да използват злонамерен код, за да поемат напълно процесора, което би позволило достъп до всякакви защитени данни, включително пароли. Изследователите предполагат, че има части от процесора, до които Ryzenfall има достъп, до които предишните атаки не биха могли да стигнат.

Chimera, която засяга машините Ryzen Workstation и Ryzen Pro, има два варианта: хардуер и фърмуер. На хардуерния сайт чипсетът позволява да се стартира зловреден софтуер, така че той може да бъде заразен чрез Wi-Fi, Bluetooth или друг безжичен трафик. От страна на фърмуера има проблеми, че зловредният софтуер може да бъде поставен директно върху процесора. Но първо трябва да отслабите процесора с атаката Chimera.

Fallout вероятно ще засегне само предприятия, тъй като е ограничен до EPYC сървърни чипове. Той позволява на нападателите да четат и пишат от защитени области на паметта, включително Windows Defender Credential Guard, който съхранява данни в отделна част от операционната система.

„Наскоро бяхме запознати с този доклад и преглеждаме информацията“, заяви говорител на Microsoft.

Изследователите казаха на CNET, че тези недостатъци може да отнемат няколко месеца, за да бъдат отстранени, въпреки че AMD все още не е предоставила график. В момента най -добрият вариант е винаги да поддържате операционната си система актуализирана и, когато е възможно, да инсталирате най -новите корекции от доставчика на вашата машина или от AMD. Това са същите съвети, които трябва да следвате, ако вашата машина е засегната от Spectre или Meltdown, което засегна Intel, AMD и ARM процесори.

АКТУАЛИЗАЦИИ 13 март: Не забелязахме връзка с дребен шрифт на сайта AMDFlaws.com, която води до „Правна отказ от отговорност“. Текстът на отказ от отговорност поражда някои опасения относно етичните практики на CTS.

„Въпреки че имаме добросъвестни убеждения в нашия анализ и вярваме, че той е обективен и безпристрастен“, се казва в отказ от отговорност. „уведомяваме Ви, че може да имаме, пряко или косвено, икономически интерес от изпълнението на ценните книжа на компаниите, чиито продукти са предмет на нашите отчети.“

„CTS не поема отговорност за грешки или пропуски“, се добавя. „CTS си запазва правото да променя съдържанието на този уебсайт и ограниченията за неговото използване, със или без предизвестие, а CTS си запазва правото да се въздържа от актуализиране на този уебсайт, дори когато той е остарял или неточен.“

На ясен английски език, отказът от отговорност казва, че CTS няма да го счита за неетично, хипотетично, ако трябваше да заеме кратка позиция по отношение на акциите на AMD преди публикуването на своя доклад. Той също така казва, че ако нещо в доклада е грешно, това не е по вина на CTS.

Скоро след като CTS публикува своя доклад в 10 ч. Източно време във вторник, фирма за проучване на пазара, наречена Viceroy Research, публикува свой собствен 25-страничен PDF, базиран на доклада на CTS и обявяващ „некролога“ за AMD. Viceroy е специализирана в къси продажби на акции на компании, които декларира, че имат скрити недостатъци.

Излишно е да казвам, че такива откази са изключително необичайни в общността за изследване на сигурността, а времето и продължителността на доклада на Viceroy предполага, че фирмата за проучване на пазара е била предварително уведомена за доклада на CTS.

Все пак някои експерти смятат, че въпреки мотивите, недостатъците могат да бъдат реални.

Независимо от шума около изданието, грешките са реални, точно описани в техния технически доклад (който не е публичен afaik) и техният код за експлоатация работи. - Дан Гуидо (@dguido) 13 март 20,20-20-20 г.

Все още смятаме, че докладът за изследване на сигурността на CTS преминава теста за миризми, но ще го наблюдаваме отблизо.

АКТУАЛИЗИРАНЕ 14 март: Чрез представител Ярон Лук, съосновател на CTS-Labs, ни предостави изявление.

"Ние проверихме внимателно нашите резултати както вътрешно, така и с валидатор на трета страна, Trail of Bits", се казва в отчета, отчасти, позовавайки се на компанията на Dan Guido. „Ние доставихме пълно техническо описание и доказателство за концепцията за уязвимостите на AMD, Microsoft, Dell, HP, Symantec и други охранителни компании.

"Разкриването на пълни технически подробности би изложило потребителите на риск. Очакваме с нетърпение отговора на AMD на нашите открития."

Изображение: AMD