CPU-fabrikanten hebben een paar moeilijke maanden doorstaan. De enorme Spectre en Meltdown kwetsbaarheden hebben de computerwereld geschokt. En dan, als de kwetsbaarheden niet erg genoeg waren, kwamen de patches om problemen op te lossen met hun eigen problemen. Het zal nog wel even duren voordat de effecten van Spectre / Meltdown vervagen.
AMD-chips waren niet ongedeerd. Erger nog, in maart 2018 beweren onderzoekers een reeks nieuwe AMD-specifieke kritieke kwetsbaarheden te hebben gevonden. Sommige mensen in de technische wereld zijn echter niet zeker. Is er enige waarheid in de rapporten van kritieke kwetsbaarheden in AMD Ryzen CPU's Wat is er zo goed aan de nieuwe AMD Ryzen? Wat is er zo goed aan de nieuwe AMD Ryzen? De AMD Ryzen is net geland en de wereld van de CPU's is net interessant geworden. Waar gaat de hype over, en is het iets voor jou? Lees verder ? Laten we het verhaal tot nu toe bekijken.
Kritieke kwetsbaarheden en buitbare buitendeuren
Het Israëlische beveiligingsbedrijf CTS Labs onthulde 13 kritieke kwetsbaarheden. De kwetsbaarheden zijn van invloed op AMD's Ryzen-werkstation, Ryzen Pro, Ryzen mobiele architectuur en EPYC-serverprocessors. Bovendien lieten de kwetsbaarheden overeenkomsten zien met Spectre / Meltdown en konden aanvallers toegang krijgen tot privégegevens, malware installeren of toegang krijgen tot een gecompromitteerd systeem.
De kwetsbaarheden van de processor komen voort uit het ontwerp van AMD's Secure Processor, een CPU-beveiligingsfunctie die veilige opslag van coderingssleutels, wachtwoorden en andere extreem gevoelige gegevens mogelijk maakt. Dit in combinatie met een fout in het ontwerp van AMD's Zen-chipset die de processor verbindt met andere hardwareapparaten.
"Dit integrale deel van de meeste AMD-producten, inclusief werkstations en servers, wordt momenteel geleverd met meerdere beveiligingskwetsbaarheden waardoor malafide actoren permanent schadelijke code in de Secure Processor zelf kunnen installeren."
Zijn deze kwetsbaarheden echt?
Ja, ze zijn heel echt en komen in vier smaken:
- Ryzenfall: hiermee kan kwaadwillende code volledige controle over de AMD Secure-processor krijgen
- Fallout: hiermee kan een aanvaller lezen van en schrijven naar beschermde geheugengebieden zoals SMRAM
- Chimera: een "dubbel" beveiligingslek, met één fout in de firmware en één hardwarefout waarmee kwaadwillige code rechtstreeks in de AMD Ryzen-chipset kan worden geïnjecteerd; Op chipset gebaseerde malware ontwijkt vrijwel alle endpoint-beveiligingsoplossingen
- Masterkey: misbruikt meerdere kwetsbaarheden in AMD Secure Processor-firmware om toegang tot Secure Processor mogelijk te maken; staat uiterst stealthy persistent op chipset gebaseerde malware toe om de veiligheid te omzeilen; kan fysieke schade aan het apparaat veroorzaken
In de beveiligingsblog van het CTS Lab staat: "Aanvallers konden Ryzenfall gebruiken om de Windows Credential Guard te omzeilen, netwerkreferenties te stelen en zich vervolgens mogelijk zelfs via een hoog beveiligd bedrijfsnetwerk van Windows te verspreiden [...] Aanvallers konden Ryzenfall samen met Masterkey gebruiken om permanente malware op de Secure Processor, waardoor klanten worden blootgesteld aan het risico van heimelijke en langdurige spionage op de lange termijn. "
Andere beveiligingsonderzoekers hebben de bevindingen snel geverifieerd.
Ongeacht de hype rond de release, de bugs zijn echt, nauwkeurig beschreven in hun technisch rapport (wat niet publiekelijk is) en hun exploit-code werkt.
- Dan Guido (@dguido) 13 maart 2018
Geen van de kwetsbaarheden vereist fysieke toegang tot het apparaat of extra stuurprogramma's die moeten worden uitgevoerd. Ze hebben echter lokale machinebeheerder-rechten nodig, dus er is wat respijt. En laten we eerlijk zijn, als iemand directe roottoegang tot je systeem heeft, ben je al in een wereld van pijn.
Wat is het probleem dan?
Nou ja, niemand heeft echt gehoord van CTS Labs. Wat op zich geen probleem is. Kleine bedrijven vullen altijd uitstekend onderzoek in. Het is veeleer hoe CTS Labs de kwetsbaarheden openbaar heeft gemaakt. Standaard beveiligingstoekenning vraagt onderzoekers om het kwetsbare bedrijf tenminste 90 dagen de tijd te geven om een probleem te verhelpen voordat ze met gevoelige bevindingen openbaar worden.
CTS Labs gaf AMD maar liefst 24 uur voordat ze hun amdflaws-site online zetten. En dat heeft veel woede uit de beveiligingsgemeenschap getrokken. Het is echter niet alleen de site. De manier waarop de kwetsbaarheden worden gepresenteerd, is ook een probleem met de tekening. De site met kwetsbaarheidsinformatie bevat een interview met een van de onderzoekers, zit vol met infographics en andere media, heeft spannende en pakkende namen voor de problemen en lijkt overdreven voor het vrijgeven van een kwetsbaarheid. (Een kwetsbaarheid die ze AMD minder dan 24 uur hadden gegeven om te herstellen, let op!)
CTS Labs gaf hier ook hun reden voor. CTS Ilia Luk-Zilberman van CTS Labs legt uit dat "de huidige structuur van 'Responsible Disclosure' een zeer ernstig probleem is." Bovendien vinden ze "het moeilijk te geloven dat we de enige groep ter wereld zijn die deze kwetsbaarheden heeft, rekening houdend met wie zijn de acteurs in de wereld van vandaag. "U kunt hier de volledige brief lezen [PDF].
TL; DR: CTS Labs is van mening dat de 30/60/90 dagen wachttijd het gevaar voor al kwetsbare consumenten verlengt. Als onderzoekers de openbaarmaking meteen doen, dwingt dit de hand van het bedrijf om onmiddellijk te handelen. In feite is hun suggestie om validatie door derden te gebruiken, zoals CTS Labs deed met Dan Guido (waarvan de bevestigings-Tweet hierboven is gelinkt), verstandig, maar iets dat al gebeurt.
AMD Stock korten
Andere onderzoekers bagatelliseerden de ernst van de gebreken als gevolg van het vereiste niveau van systeemtoegang. Er waren nog vragen over de timing van het rapport toen bleek dat short-selling bedrijf Viceroy Research een rapport uitbracht waarin werd verklaard dat AMD-aandelen mogelijk al hun waarde zouden verliezen. AMD-aandelen namen inderdaad een duik, samenvallend met de release van het kwetsbaarheidverslag van CTS Labs, maar sloot de dag hoger dan voorheen.
Linus Torvalds, Linux-kernel leadontwikkelaar, gelooft ook dat de aanpak van CTS Labs nalatig is en zegt: "Ja, het lijkt meer op voorraadmanipulatie dan een beveiligingsadvies voor mij." Torvalds betreurt ook de onnodige hype rond de release, beweert dat beveiligingsonderzoekers "Look zoals clowns vanwege het. "
Torvalds tieren is niet ongekend. Maar hij heeft gelijk. Het komt ook op de achterkant van een andere "veiligheidswaarschuwing" die zowel een verschrikkelijke SSH als een verschrikkelijk root-wachtwoord vereist om te werken. Torvalds (en andere veiligheidsonderzoekers en -ontwikkelaars) wijzen erop dat het soms, omdat een fout gevaarlijk en exotisch klinkt, er geen groot probleem van maakt voor het grote publiek.
Kun je veilig blijven?
Wel, het is een gemengde veiligheidstas. Is uw AMD Ryzen CPU kwetsbaar? Ja dat is zo. Is het waarschijnlijk dat je AMD Ryzen CPU een exploit van deze manier zal zien? Het is enigszins onwaarschijnlijk, althans op de korte termijn.
Dat gezegd hebbende, moeten degenen met een AMD Ryzen-systeem hun beveiligingswaakzaamheidsniveau de komende weken verhogen totdat AMD een beveiligingspatch kan vrijgeven. Hopelijk zijn ze een beter beeld dan de Spectre / Meltdown-patches. Zijn we nog beschermd tegen spook en afsmelting? Zijn we nog beschermd tegen spook en afsmelten? De onthullingen over de kwetsbaarheid van de Spectre en Meltdown-processor waren een schokkend begin tot 2018. Hebben de patches gewerkt? Zijn we dichter bij het oplossen van deze kwetsbaarheden? Lees verder !