AMD ha ora confermato che i "difetti AMD" rivelati da CTS-Labs sono reali. Ti consigliamo di installare l'aggiornamento del BIOS che li risolve quando è disponibile. Ma non preoccuparti troppo. Il pericolo di questi difetti è stato esagerato.
Sono state identificate quattro vulnerabilità separate, denominate Ryzenfall, Masterkey, Fallout e Chimera. Questi difetti influenzano Processori AMD Ryzen e processori server EPYC, entrambi basati sulla microarchitettura Zen di AMD. Al momento, non ci sono state segnalazioni di queste vulnerabilità sfruttate in natura. I difetti stessi sono stati confermati solo di recente. E sfortunatamente, non c'è ancora modo di determinare se una CPU è stata compromessa. Ma ecco cosa sappiamo.
L'attaccante ha bisogno dell'accesso amministrativo
RELAZIONATO: In che modo il Meltdown e i difetti dello spettro influenzeranno il mio PC?
Il vero asporto qui è che ogni singola vulnerabilità CTS-Labs annunciato richiede l'accesso amministrativo su un computer che esegue una CPU AMD Ryzen o EPYC per sfruttare. E, se l'attaccante ha accesso amministrativo al tuo computer, può installare keylogger, controllare tutto ciò che stai facendo, rubare tutti i tuoi dati ed eseguire molti altri attacchi pericolosi.
In altre parole, queste vulnerabilità consentono a un utente malintenzionato che ha già compromesso il tuo computer di fare altre cose dannose che non dovrebbe essere in grado di fare.
Queste vulnerabilità sono ancora un problema, ovviamente. Nel peggiore dei casi, un utente malintenzionato può effettivamente compromettere la CPU stessa, nascondendo al suo interno malware che persiste anche se si riavvia il PC o si reinstalla il sistema operativo. Non va bene e AMD sta lavorando a una soluzione. Ma un utente malintenzionato ha ancora bisogno dell'accesso amministrativo al tuo PC per eseguire questo attacco.
In altre parole, questo è molto meno spaventoso di le vulnerabilità Meltdown e Spectre , che consentiva al software senza accesso amministrativo, anche al codice JavaScript in esecuzione su una pagina web in un browser web, di leggere dati a cui non avrebbe dovuto accedere.
E, a differenza di come potrebbero fare le patch per Meltdown e Spectre rallentare i sistemi esistenti , AMD afferma che non ci sarà alcun impatto sulle prestazioni durante la correzione di questi bug.
Cosa sono MASTERKEY, FALLOUT, RYZENFALL e CHIMERA?
RELAZIONATO: Intel Management Engine, spiegato: il minuscolo computer all'interno della CPU
Tre delle quattro vulnerabilità sono attacchi al Platform Security Processor di AMD, o PSP. Questo è un piccolo coprocessore di sicurezza integrato integrato nelle CPU AMD. In realtà funziona su una CPU ARM separata. È la versione di AMD di Intel Management Engine (Intel ME) o Apple Secure Enclave .
Questo processore di sicurezza dovrebbe essere completamente isolato dal resto del computer e consentire solo l'esecuzione di codice affidabile e sicuro. Ha anche pieno accesso a tutto sul sistema. Ad esempio, gestisce Trusted Platform Module (TPM) funzioni che consentono cose come la crittografia del dispositivo. La PSP ha un firmware che può essere aggiornato tramite gli aggiornamenti del BIOS di sistema, ma accetta solo aggiornamenti firmati crittograficamente da AMD, il che significa che gli aggressori non possono decifrarlo, in teoria.
La vulnerabilità MASTERKEY consente a un utente malintenzionato con accesso amministrativo su un computer di bypassare il controllo della firma e installare il proprio firmware all'interno del processore di sicurezza della piattaforma AMD. Questo firmware dannoso avrebbe quindi pieno accesso al sistema e persisterebbe anche quando si riavvia o si reinstalla il sistema operativo.
La PSP espone anche un'API al computer. Le vulnerabilità FALLOUT e RYZENFALL sfruttano i difetti che la PSP espone per eseguire codice in PSP o System Management Mode (SMM). L'autore dell'attacco non dovrebbe essere in grado di eseguire codice all'interno di questi ambienti protetti e potrebbe installare malware persistente nell'ambiente SMM.
Molte schede madri socket AM4 e TR4 hanno un "chipset Promontory". Questo è un componente hardware sulla scheda madre che gestisce la comunicazione tra la CPU AMD, la memoria e altri dispositivi di sistema. Ha pieno accesso a tutta la memoria e i dispositivi del sistema. Tuttavia, la vulnerabilità CHIMERA sfrutta i difetti del chipset Promontory. Per trarne vantaggio, un utente malintenzionato dovrebbe installare un nuovo driver hardware, quindi utilizzare quel driver per crackare il chipset ed eseguire il codice sul processore del chipset stesso. Questo problema riguarda solo alcuni sistemi Ryzen Workstation e Ryzen Pro, poiché il chipset non viene utilizzato sulle piattaforme EPYC Server.
Ancora una volta, ogni singolo difetto di AMD qui — MASTERKEY, FALLOUT, RYZENFALL e CHIMERA — richiede che un utente malintenzionato comprometta il tuo PC ed esegua software con accesso di amministratore per sfruttarlo. Tuttavia, l'attaccante sarà quindi in grado di nascondere il codice dannoso dove i programmi di sicurezza tradizionali non lo troveranno mai.
Per maggiori dettagli, leggi Valutazione tecnica di AMD e questo riassunto tecnico da Trail of Bits .
CTS-Labs, che ha divulgato questi flussi, pensa che AMD lo sia minimizzare la loro gravità. Tuttavia, sebbene siamo d'accordo sul fatto che si tratta di problemi potenzialmente gravi che dovrebbero essere risolti, riteniamo sia importante sottolineare quanto sarebbe difficile sfruttarli, a differenza di Meltdown e Spectre.
Gli aggiornamenti del BIOS sono in arrivo
RELAZIONATO: Come controllare la versione del BIOS e aggiornarla
AMD risolverà i problemi MASTERKEY, FALLOUT e RYZENFALL tramite aggiornamenti del firmware al processore di sicurezza della piattaforma AMD (PSP). Questi aggiornamenti saranno disponibili tramite Aggiornamenti del BIOS . Dovrai ottenere questi aggiornamenti del BIOS dal produttore del tuo PC o, se hai costruito il tuo PC, dal produttore della scheda madre.
Il 21 marzo, AMD ha dichiarato che prevede di rilasciare questi aggiornamenti "nelle prossime settimane", quindi tieni d'occhio gli aggiornamenti del BIOS prima della fine di aprile. CTS-Labs ritiene che questa sequenza temporale sia "drasticamente ottimistica", ma vedremo cosa succede.
AMD ha anche affermato che collaborerà con ASMedia, la società di terze parti che ha sviluppato il chipset Promontory, per correggere l'attacco CHIMERA. Tuttavia, come osserva CTS-Labs, AMD non ha fornito una tempistica per questa patch. Le correzioni per CHIMERA saranno rese disponibili anche tramite futuri aggiornamenti del BIOS.
Credito immagine: Joerg Huettenhoelscher /Shutterstock.com, CTS Labs
