✅ Relatórios de investigação da AMD sobre falhas de Ryzen

Índice

Segurança e rede do Windows 10

ATUALIZADA no final do relatório com questões levantadas sobre a ética dos pesquisadores de segurança envolvidos e declaração do CTS-Labs. Esta postagem foi publicada originalmente às 12h34. 13 de março e desde então foi atualizado.

Os pesquisadores descobriram 13 vulnerabilidades críticas de segurança nos processadores Ryzen e EPYC da AMD que podem infectar os PCs com malware, dar aos atacantes acesso a dados importantes, ler e gravar arquivos e assumir o controle inteiramente dos chipsets. CNET relatou pela primeira vez sobre os problemas.

As vulnerabilidades foram descobertas pela empresa de segurança israelense CTS-Labs, que avisou a AMD com menos de 24 horas de antecedência antes que a CTS-Labs divulgasse os problemas. (A prática padrão de pesquisa de segurança é fornecer ao fornecedor um aviso de 90 dias.) No entanto, o CTS-Labs é cauteloso quanto aos detalhes técnicos, o que pode tornar os ataques que exploram as falhas difíceis de reproduzir.

As falhas e seus ataques relacionados caem em quatro campos, que o CTS-Labs chamou de Masterkey, Ryzenfall, Chimera e Fallout.

"Na AMD, a segurança é uma prioridade e estamos trabalhando continuamente para garantir a segurança de nossos usuários à medida que surgem novos riscos", disse um porta-voz da AMD ao ReviewsExpert.net. “Estamos investigando este relatório, que acabamos de receber, para entender a metodologia e o mérito das descobertas”.

Em uma postagem do blog, a AMD lançou dúvidas sobre o relatório:

"Acabamos de receber um relatório de uma empresa chamada CTS Labs alegando que há vulnerabilidades de segurança em potencial relacionadas a alguns de nossos processadores. Estamos investigando e analisando ativamente suas descobertas. Esta empresa era anteriormente desconhecida da AMD e achamos isso incomum para uma segurança empresa a publicar sua pesquisa para a imprensa sem fornecer um período de tempo razoável para a empresa investigar e abordar suas descobertas. Na AMD, a segurança é uma prioridade e estamos trabalhando continuamente para garantir a segurança de nossos usuários à medida que surgem novos riscos em potencial. . Vamos atualizar este blog à medida que as notícias se desenvolvem. "

Masterkey pode afetar a mais ampla faixa de máquinas, incluindo laptops (executando Ryzen Mobile), máquinas criativas poderosas (com Ryzen Pro) e estações de trabalho e servidores (executando chips Ryzen Workstation e EPYC Server, respectivamente). O ataque envolve o reflashing do BIOS, o que pode ser feito por meio de infecção por malware. A exploração bem-sucedida da falha permite que os invasores desabilitem os recursos de segurança e até mesmo iniciem programas indesejados na inicialização.

Ryzenfall, Chimera e Fallout são uma ameaça menos direta, porque cada um exige que um invasor "seja capaz de executar um programa com privilégios elevados de administrador na máquina local" e forneça "um driver assinado digitalmente pelo fornecedor", de acordo com ao Livro Branco dos pesquisadores. (Explicações mais simples estão no novo site dedicado a promover as falhas, AMDFlaws.com.)

Se maus atores, mesmo aqueles sem acesso físico direto, tivessem esse tipo de poder em uma máquina, eles poderiam fazer o que quisessem de qualquer maneira. Fornecer uma assinatura digital falsificada não faz parte do conjunto de habilidades da maioria dos cibercriminosos comuns.

O Ryzenfall possibilita que os invasores atinjam qualquer máquina baseada em Ryzen e usem código malicioso para assumir o controle do processador completamente, o que permitiria o acesso a todos os tipos de dados protegidos, incluindo senhas. Os pesquisadores sugerem que há partes da CPU que Ryzenfall pode acessar que ataques anteriores não conseguiram.

A quimera, que afeta as máquinas Ryzen Workstation e Ryzen Pro, tem duas variantes: hardware e firmware. No site do hardware, o chipset permite que o malware seja executado, para que possa ser infectado por Wi-Fi, Bluetooth ou outro tráfego sem fio. No lado do firmware, existem os problemas de que o malware pode ser colocado diretamente na CPU. Mas primeiro você tem que enfraquecer o processador com o ataque Chimera.

O Fallout provavelmente afetará apenas as empresas, já que é limitado aos chips de servidor EPYC. Ele permite que os invasores leiam e gravem em áreas protegidas da memória, incluindo o Windows Defender Credential Guard, que armazena dados em uma parte separada do sistema operacional.

"Recentemente, ficamos sabendo deste relatório e estamos revisando as informações", disse um porta-voz da Microsoft.

Os pesquisadores disseram à CNET que essas falhas podem levar vários meses para serem consertadas, embora a AMD ainda não tenha fornecido um cronograma. No momento, a melhor opção é sempre manter seu sistema operacional atualizado e, quando possível, instalar os patches mais recentes do fornecedor de sua máquina ou da AMD. Estas são as mesmas dicas a seguir se sua máquina for afetada por Spectre ou Meltdown, que afetou processadores Intel, AMD e ARM.

ATUALIZAÇÕES 13 de março: Não notamos um link em letras minúsculas no site AMDFlaws.com que leva a um "Aviso Legal". O texto da isenção de responsabilidade levanta algumas preocupações sobre as práticas éticas do CTS.

"Embora acreditemos de boa fé em nossa análise e acreditemos que ela seja objetiva e imparcial", diz a isenção de responsabilidade. "você está ciente de que podemos ter, direta ou indiretamente, um interesse econômico no desempenho dos valores mobiliários das empresas cujos produtos são objeto de nossos relatórios."

"A CTS não se responsabiliza por erros ou omissões", acrescenta a isenção de responsabilidade. "A CTS reserva-se o direito de alterar o conteúdo deste site e as restrições ao seu uso, com ou sem aviso prévio, e a CTS reserva-se o direito de não atualizar este site, mesmo que se torne desatualizado ou impreciso."

Em linguagem simples, a isenção de responsabilidade diz que a CTS não consideraria isso antiético, hipoteticamente, se tivesse tomado uma posição vendida nas ações da AMD antes do lançamento de seu relatório. Também diz que se algo no relatório estiver errado, não é culpa do CTS.

Logo depois que a CTS postou seu relatório às 10h, horário do leste dos EUA, na terça-feira, uma empresa de pesquisa de mercado chamada Viceroy Research publicou seu próprio PDF de 25 páginas com base no relatório CTS e proclamando o "obituário" para a AMD. A Viceroy é especializada na venda a descoberto de ações de empresas que declara ter falhas ocultas.

Desnecessário dizer que tais isenções de responsabilidade são altamente incomuns dentro da comunidade de pesquisa de segurança, e o momento e a duração do relatório Viceroy sugerem que a empresa de pesquisa de mercado recebeu um aviso prévio do relatório do CTS.

Ainda assim, alguns especialistas acham que, apesar dos motivos, as falhas podem ser reais.

Independentemente do hype em torno do lançamento, os bugs são reais, descritos com precisão em seu relatório técnico (que não é público), e seu código de exploração funciona. - Dan Guido (@dguido) março 13,2021-2022

Ainda achamos que o relatório de pesquisa de segurança do CTS passa no teste de cheiro, mas estaremos observando este de perto.

ATUALIZAÇÃO 14 de março: Por meio de um representante, Yaron Luk, cofundador do CTS-Labs, nos forneceu uma declaração.

"Verificamos nossos resultados cuidadosamente tanto internamente quanto com um validador de terceiros, Trail of Bits", disse o comunicado em parte, referindo-se à empresa de Dan Guido. "Fornecemos uma descrição técnica completa e uma prova de conceito das vulnerabilidades para AMD, Microsoft, Dell, HP, Symantec e outras empresas de segurança.

"Divulgar todos os detalhes técnicos colocaria os usuários em risco. Estamos ansiosos pela resposta da AMD às nossas descobertas."

Imagem: AMD