AMD investighează rapoarte ale defectelor Ryzen

ACTUALIZAT la sfârșitul raportului cu întrebări ridicate despre etica cercetătorilor în securitate implicați și declarație de la CTS-Labs. Această postare a fost publicată inițial la 12:34 p.m. 13 martie și de atunci a fost actualizat.

Cercetătorii au descoperit 13 vulnerabilități de securitate critice în procesoarele Ryzen și EPYC ale AMD, care pot infecta computerele cu malware, pot oferi atacatorilor acces la date importante, pot citi și scrie fișiere și pot prelua chipset-urile în totalitate. CNET a raportat mai întâi despre aceste probleme.

Vulnerabilitățile au fost descoperite de firma de securitate israeliană CTS-Labs, care a dat AMD preaviz cu mai puțin de 24 de ore înainte ca CTS-Labs să dezvăluie problemele. (Practica standard de cercetare în materie de securitate este de a oferi vânzătorului o notificare prealabilă cu 90 de zile.) Cu toate acestea, CTS-Labs este înșelător cu privire la detaliile tehnice, care pot face ca atacurile care exploatează defectele să fie greu de reprodus.

Defectele și atacurile asociate acestora se încadrează în patru tabere, pe care CTS-Labs le-a numit Masterkey, Ryzenfall, Chimera și Fallout.

"La AMD, securitatea este o prioritate absolută și lucrăm continuu pentru a asigura siguranța utilizatorilor noștri pe măsură ce apar noi riscuri", a declarat un purtător de cuvânt al AMD pentru ReviewsExpert.net. "Investigăm acest raport, pe care tocmai l-am primit, pentru a înțelege metodologia și meritul constatărilor."

Într-o postare pe blog, AMD a pus la îndoială raportul:

„Tocmai am primit un raport de la o companie numită CTS Labs care susține că există potențiale vulnerabilități de securitate legate de unii dintre procesatorii noștri. Investigăm și analizăm activ constatările sale. Această companie era necunoscută anterior de AMD și considerăm că este neobișnuit pentru o securitate firma să-și publice cercetările în presă fără a oferi o perioadă rezonabilă de timp pentru ca compania să investigheze și să abordeze concluziile sale. La AMD, securitatea este o prioritate absolută și lucrăm continuu pentru a asigura siguranța utilizatorilor noștri, pe măsură ce apar noi riscuri potențiale. . Vom actualiza acest blog pe măsură ce se vor dezvolta știri. "

Masterkey poate afecta cea mai largă gamă de mașini, inclusiv laptopuri (care rulează Ryzen Mobile), mașini creative puternice (cu Ryzen Pro) și stații de lucru și servere (care rulează cipuri Ryzen Workstation și respectiv EPYC Server). Atacul implică refacerea BIOS-ului, care se poate face prin infecție cu malware. Exploatarea cu succes a defectului ar permite atacatorilor să dezactiveze caracteristicile de securitate și chiar să lanseze programe nedorite la pornire.

Ryzenfall, Chimera și Fallout reprezintă mai puțin o amenințare directă, deoarece fiecare dintre aceștia necesită ca un atacator să fie „capabil să ruleze un program cu privilegii de administrator ridicate de mașină locală” și să furnizeze „un driver care este semnat digital de către furnizor”, potrivit la cartea albă a cercetătorilor. (Explicații mai simple sunt la noul site web dedicat promovării defectelor, AMDFlaws.com.)

Dacă actorii răi, chiar și cei fără acces fizic direct, aveau acel tip de putere pe o mașină, oricum ar putea face orice doreau. Furnizarea unei semnături digitale falsificate nu se încadrează în setul de competențe al majorității criminalilor cibernetici obișnuiți.

Ryzenfall face posibil ca atacatorii să vizeze orice mașină bazată pe Ryzen și să utilizeze coduri rău intenționate pentru a prelua complet procesorul, ceea ce ar permite accesul la tot felul de date protejate, inclusiv parole. Cercetătorii sugerează că există părți ale procesorului pe care Ryzenfall le poate accesa la care atacurile anterioare nu au putut ajunge.

Chimera, care afectează mașinile Ryzen Workstation și Ryzen Pro, are două variante: hardware și firmware. Pe site-ul hardware, chipset-ul permite rularea malware-ului, astfel încât poate fi infectat prin Wi-Fi, Bluetooth sau alt trafic wireless. În ceea ce privește firmware-ul, există problemele că malware-ul poate fi pus direct pe CPU. Dar mai întâi trebuie să slăbești procesorul cu atacul Chimera.

Fallout este susceptibil să afecteze numai întreprinderile, deoarece este limitat la cipurile de server EPYC. Permite atacatorilor să citească și să scrie din zone de memorie protejate, inclusiv Windows Defender Credential Guard, care stochează date într-o parte separată a sistemului de operare.

"Am fost recent informați despre acest raport și examinăm informațiile", a spus un purtător de cuvânt al Microsoft.

Cercetătorii au declarat pentru CNET că aceste defecte ar putea dura câteva luni pentru a fi remediate, deși AMD nu a furnizat încă o cronologie. În acest moment, cea mai bună opțiune este să vă mențineți întotdeauna sistemul de operare actualizat și, când este posibil, să instalați cele mai recente patch-uri de la furnizorul aparatului sau de la AMD. Acestea sunt aceleași sfaturi de urmat dacă aparatul dvs. este afectat de Spectre sau Meltdown, care au afectat procesoarele Intel, AMD și ARM.

ACTUALIZĂRI 13 martie: Nu am observat un link în format minuscul pe site-ul AMDFlaws.com care să ducă la o „Declinare legală”. Textul de declinare a responsabilității ridică unele îngrijorări cu privire la practicile etice ale CTS.

„Deși avem o credință de bună-credință în analiza noastră și credem că este obiectivă și imparțială”, spune declinarea responsabilității. „vi se spune că putem avea, direct sau indirect, un interes economic în performanța valorilor mobiliare ale companiilor ale căror produse fac obiectul rapoartelor noastre.”

„CTS nu își asumă responsabilitatea pentru erori sau omisiuni”, adaugă responsabilitatea. „CTS își rezervă dreptul de a modifica conținutul acestui site web și restricțiile de utilizare a acestuia, cu sau fără notificare prealabilă, iar CTS își rezervă dreptul de a se abține de la actualizarea acestui site web chiar dacă devine învechit sau inexact.”

Într-o limbă simplă, declarația de declinare a responsabilității spune că CTS nu l-ar considera lipsit de etică, ipotetic, dacă ar fi luat o poziție scurtă asupra stocului AMD înainte de publicarea raportului său. De asemenea, se spune că dacă ceva din raport este greșit, nu este vina CTS.

La scurt timp după ce CTS și-a publicat marți raportul la ora 10 dimineața, ora estului, o firmă de cercetare de piață numită Viceroy Research și-a publicat propriul PDF de 25 de pagini pe baza raportului CTS și a proclamat „necrologul” pentru AMD. Viceroy este specializat în vânzarea scurtă de acțiuni ale companiilor pe care declară că le-au ascuns defecte.

Inutil să spunem, astfel de declinări de răspundere sunt extrem de neobișnuite în cadrul comunității de cercetare în domeniul securității, iar calendarul și durata raportului Viceroy sugerează că firma de cercetare a pieței a avut o notificare prealabilă a raportului CTS.

Cu toate acestea, unii experți cred că, în ciuda motivelor, defectele ar putea fi reale.

Indiferent de hype-ul din jurul lansării, erorile sunt reale, descrise cu exactitate în raportul lor tehnic (care nu este public afaik), iar codul lor de exploatare funcționează. - Dan Guido (@dguido) 13 martie 2022-2023

Încă credem că raportul de cercetare de securitate al CTS trece testul mirosului, dar îl vom urmări îndeaproape.

ACTUALIZARE 14 martie: Prin intermediul unui reprezentant, Yaron Luk, cofondator al CTS-Labs, ne-a furnizat o declarație.

„Ne-am verificat cu atenție rezultatele atât pe plan intern, cât și cu un validator terță parte, Trail of Bits”, se menționează parțial în declarație, referindu-se la compania lui Dan Guido. „Am furnizat o descriere tehnică completă și o dovadă a conceptului vulnerabilităților către AMD, Microsoft, Dell, HP, Symantec și alte companii de securitate.

"Dezvăluirea detaliilor tehnice complete ar pune utilizatorii în pericol. Așteptăm cu nerăbdare răspunsul AMD la constatările noastre."

Imagine: AMD