13 luk w procesorach AMD nie zostało zmyślonych, sposób ich podania zadziwia

Strona główna Aktualności
Procesor AMD Ryzen z depositphotos

O autorze

Pasmo wizerunkowych sukcesów procesów Ryzen właśnie zostało przerwane – i to z najmniej spodziewanej strony. Izraelska firma CTS Labs przedstawiła łącznie 13 sprzętowych luk w architekturze Ryzenów (a także ich serwerowych odpowiedników, czipów EPYC). Pod względem zagrożenia jakie stanowią, wyglądają one jeszcze gorzej, niż ujawnione na początku tego roku luki w procesorach wykorzystane do ataków Meltdown i Spectre. Słowem-kluczem jest tutaj jednak „wyglądają”. Branża bezpieczeństwa jest bowiem zdumiona sposobem, w jaki luki te ujawniono, dając producentowi jeden dzień na reakcję. Same opisy ataków też budzą wątpliwości. Czy to ujawnienie zagrożeń, czy po bezprecedensowy atak na AMD?

O ile w wypadku luk Meltdown i Spectre mieliśmy do czynienia już na początku z poważnymi publikacjami naukowymi, nie pozostawiającymi cienia wątpliwości do skali zagrożenia, tutaj sytuacja wygląda trochę inaczej. Dwudziestostronicowy raport CTS jest raczej lakoniczny, opisuje odkryte luki raczej pobieżnie, a kończy się notatką prawników firmy, z której dowiadujemy się, że służyć ma jedynie celom informacyjnym i edukacyjnym.

Przyglądając się raportowi bliżej, znajdziemy tam opisy łącznie 13 podatności, podzielonych na cztery klasy. Otrzymały one (oczywiście) barwne nazwy – MasterKey, RyzenFall, Fallout oraz Chimera. Pozwalać mają na przejęcie kontroli nad atakowanymi systemami, a także wydobycie wrażliwych danych ze sprzętowych enklaw nowych procesorów AMD.

Poniżej przedstawiamy je kolejno, pogrupowane tymi klasami:

MasterKey 1, 2 i 3

Są to ataki wykorzystujące luki pozwalające na instalację nieulotnego złośliwego oprogramowania działającego na AMD Secure Processor, które podobno jest w stanie obejść wszystkie mechanizmy bezpieczeństwa procesora, takie jak Secure Encrypted Virtualization oraz Firmware Trusted Platform Module.

Za sprawą luk MasterkKey możliwe ma być wykradzenie danych logowania, w tym strzeżonych na poziomie systemu operacyjnego, takimi jak np. Virtualization-Based Security Microsoftu, stosowane w Windows Serverze. Możliwe ma być też fizyczne uszkodzenie komputera poprzez zniszczenie komórek pamięci flash w procesorze.

Ataki wykorzystujące MasterKey przeprowadzone miały być na procesorach Ryzen i EPYC, a zagrażać mają też procesorom Ryzen Pro i Ryzen Mobile.

RyzenFall 1 oraz Fallout 1

Te ataki pozwalać mają na zapis do chronionych obszarów pamięci, w tym Windows Isolated User Mode oraz Isolated Kernel Mode, a na niektórych płytach głównych także do pamięci koprocesora bezpieczeństwa – AMD Secure Processor Fenced DRAM.

Tak samo za ich pomocą możliwe miałoby być wykradzenie wrażliwych danych, także i danych logowania, z obejściem zabezpieczeń takich jak np. Windows Credential Guard. Pozwalać one mają także na stworzenie malware chroniącego się w pamięci Windows Isolated User Mode i dzięki temu odpornego na antywirusy.

Luki te przetestowane miały być na Ryzenach, Ryzenach Pro i EPYC-ach. Nie występują w procesorach Ryzen Mobile.

RyzenFall 2 oraz Fallout 2

Za pomocą wyexploitowanych tymi atakami luk możliwe ma być wyłączenie ochrony przed zapisem dla Secure Management RAM (SMRAM). Ten sposób możliwe stałoby się tworzenie odpornego na antywirusy malware, pozostającego w chronionej pamięci.

Podobnie jak poprzednio, luki te występować mają w Ryzenach, Ryzenach Pro i procesorach EPYC, nie ma ich za to w Ryzenach Mobile.

RyzenFall 2 oraz Fallout 3

Tutaj mamy do czynienia z możliwością odczytania zawartości chronionych obszarów pamięci, w tym Windows Isolated User Mode, Isolated Kernel Mode, Secure Management RAM oraz AMD Secure Processor Fenced DRAM – jednak jedynie na wybranych płytach głównych AMD.

Tak samo pozwala to na odczytanie wrażliwych danych, w tym chronionych za pomocą wirtualizacji, tak samo też ataki miały być sprawdzone na procesorach Ryzen, Ryzen Pro i EPYC, nie działają za to na Ryzen Mobile.

RyzenFall 4

To atak pozwalający na uruchomienie dowolnego kodu na AMD Secure Processor i obejście zabezpieczeń firmware, takich jak Firmware Trusted Platform Module.

Działając na tym poziomie napastnik może zarówno wykraść wrażliwe dane z chronionej wirtualizacją pamięci jak i uszkodzić fizycznie czip. Atak ten działać ma jedynie na procesorach Ryzen i Ryzen Pro, układy EPYC i Ryzen Mobile są odporne.

Chimera

Dwie ciekawe furtki, które znalazły się w firmware oraz sprzęcie (czipie ASIC), które pozwalają złośliwemu oprogramowaniu na wstrzyknięcie się w procesor 8051 czipsetu AMD.

W ten sposób malware zyskuje dostęp do komunikacji między procesorem a urządzeniami USB, SATA i PCI-e, a w wielu wypadkach także komunikacji sieciowej, w tym przez Wi-Fi i Bluetootha.

Chimera działa na Ryzenach i Ryzenach Pro, czipy EPYC i Ryzen Mobile mają być odporne.

Kto zawinił, kto skorzysta?

Luki wyglądają fatalnie, całkowicie podkopując zaufanie do procesorów AMD. A jak wygląda ujawnienie tych luk przez izraelskich badaczy? Szczerze mówiąc – jeszcze gorzej. Złamano wszelkie zasady odpowiedzialnych ujawnień zagrożeń, AMD dostało dosłownie jeden dzień na reakcję, nie zdołało w tym czasie nawet potwierdzić ujawnionych problemów.

Zresztą bez przesady z tym „ujawnieniem”. O ile w wypadku Meltdown i Spectre mieliśmy głęboką analizę architektury i działający kod ataku, tutaj mamy ogólniki i zapewnienia. Co więcej, wygląda na to, że nawet te zapewnienia są przesadzone. Pierwsi badacze, którzy przyglądają się sprawie, już zauważają, że ich wykorzystanie wymagania administracyjnego dostępu do maszyny, w wielu wypadkach nawet fizycznego dostępu do maszyny.

AMD ogłosiło, że prowadzi własne badania w tej kwestii. Wcześniej nigdy nie miało do czynienia z izraelską firmą i uważa za bardzo osobliwe, że w taki właśnie sposób doszło do ujawnienia tych rzekomych zagrożeń.

Okazało się za to, że wbrew temu, co CTS Labs twierdzi, że kod exploitów jest w posiadaniu tylko ich badaczy oraz samego AMD, został on już przekazany firmie trzeciej. Na szczęście to ludzie o dobrej reputacji: Dan Guido, dyrektor techniczny Trail of Bits, ogłosił, że jego ludzie przeanalizowali odkrycia CTS Labs, dostarczone im w postaci kompletnego raportu z kodem exploitów. Poinformował też, że wszystkie ataki wymagają dostępu administracyjnego.

Nas jednak zainteresował szczególnie jeden drobny detal. Dlaczego obejście Platform Security Processora na platformie AMD pozwala na obejście zabezpieczeń zwirtualizowanej pamięci Windowsa? Nie przesadzają ci producenci procesorów z możliwościami swoich wbudowanych komponentów „bezpieczeństwa”?

© dobreprogramy

Komentarze