De nieuwe kwetsbaarheden van AMD Ryzen zijn echt wat u moet weten
CPU-fabrikanten hebben een paar moeilijke maanden doorstaan. De enorme Spectre en Meltdown kwetsbaarheden hebben de computerwereld geschokt. En dan, als de kwetsbaarheden niet erg genoeg waren, kwamen de patches om problemen op te lossen met hun eigen problemen. Het zal nog wel even duren voordat de effecten van Spectre / Meltdown vervagen.
AMD-chips waren niet ongedeerd. Erger nog, in maart 2018 beweren onderzoekers een reeks nieuwe AMD-specifieke kritieke kwetsbaarheden te hebben gevonden. Sommige mensen in de technische wereld zijn echter niet zeker. Is er enige waarheid in de rapporten van kritieke kwetsbaarheden in AMD Ryzen CPU's Wat is er zo goed aan de nieuwe AMD Ryzen? Wat is er zo goed aan de nieuwe AMD Ryzen? De AMD Ryzen is net geland en de wereld van de CPU's is net interessant geworden. Waar gaat de hype over, en is het iets voor jou? Lees verder ? Laten we het verhaal tot nu toe bekijken.
Kritieke kwetsbaarheden en buitbare achterdeuren
Het Israëlische beveiligingsbedrijf CTS Labs onthulde 13 kritieke kwetsbaarheden. De kwetsbaarheden zijn van invloed op AMD's Ryzen-werkstation, Ryzen Pro, Ryzen mobiele architectuur en EPYC-serverprocessors. Bovendien lieten de kwetsbaarheden overeenkomsten zien met Spectre / Meltdown en konden aanvallers toegang krijgen tot privégegevens, malware installeren of toegang krijgen tot een gecompromitteerd systeem.
De kwetsbaarheden van de processor komen voort uit het ontwerp van AMD's Secure Processor, een CPU-beveiligingsfunctie die veilige opslag van coderingssleutels, wachtwoorden en andere extreem gevoelige gegevens mogelijk maakt. Dit in combinatie met een fout in het ontwerp van AMD's Zen-chipset die de processor verbindt met andere hardwareapparaten.
“Dit integrale deel van de meeste AMD-producten, inclusief werkstations en servers, wordt momenteel geleverd met meerdere kwetsbaarheden in de beveiliging waardoor kwaadwillende actoren permanent schadelijke code in de Secure Processor zelf kunnen installeren.”
Zijn deze kwetsbaarheden echt?
Ja, ze zijn heel echt en komen in vier smaken:
- Ryzenfall: Hiermee kan kwaadwillende code de volledige controle over de AMD Secure-processor krijgen
- Fallout: Hiermee kan een aanvaller lezen van en schrijven naar beveiligde geheugengebieden, zoals SMRAM
- Chimera: EEN “dubbele” kwetsbaarheid, met één fout in de firmware en één hardwarefout waarmee kwaadwillige code rechtstreeks in de AMD Ryzen-chipset kan worden geïnjecteerd; Op chipset gebaseerde malware ontwijkt vrijwel alle endpoint-beveiligingsoplossingen
- Hoofdsleutel: Exploits meerdere kwetsbaarheden in AMD Secure Processor-firmware om toegang tot Secure Processor mogelijk te maken; staat uiterst stealthy persistent op chipset gebaseerde malware toe om de veiligheid te omzeilen; kan fysieke schade aan het apparaat veroorzaken
De beveiligingsblog van het CTS Labs vermeldt, “Aanvallers zouden Ryzenfall kunnen gebruiken om Windows Credential Guard te omzeilen, netwerkreferenties te stelen en zich vervolgens mogelijk zelfs via een hoog beveiligd Windows-bedrijfsnetwerk te verspreiden [...] Aanvallers zouden Ryzenfall samen met Masterkey kunnen gebruiken om blijvende malware op de Secure Processor te installeren, waardoor klanten worden blootgesteld aan het risico van heimelijke en langdurige industriële spionage.”
Andere beveiligingsonderzoekers hebben de bevindingen snel geverifieerd.
Ongeacht de hype rond de release, de bugs zijn echt, nauwkeurig beschreven in hun technisch rapport (wat niet publiekelijk is) en hun exploitcode werkt.
- Dan Guido (@dguido) 13 maart 2018
Geen van de kwetsbaarheden vereist fysieke toegang tot het apparaat of extra stuurprogramma's die moeten worden uitgevoerd. Ze hebben echter lokale machinebeheerder-rechten nodig, dus er is wat respijt. En laten we eerlijk zijn, als iemand directe roottoegang tot je systeem heeft, ben je al in een wereld van pijn.
Wat is het probleem dan?
Nou ja, niemand heeft echt gehoord van CTS Labs. Wat op zich geen probleem is. Kleine bedrijven vullen de hele tijd excellent onderzoek aan. Het is veeleer hoe CTS Labs de kwetsbaarheden openbaar heeft gemaakt. Standaard beveiligingstoekenning vraagt onderzoekers om het kwetsbare bedrijf tenminste 90 dagen de tijd te geven om een probleem te verhelpen voordat ze met gevoelige bevindingen openbaar worden.
CTS Labs gaf AMD maar liefst 24 uur voordat ze hun amdflaws-site online zetten. En dat heeft veel woede uit de beveiligingsgemeenschap getrokken. Het is echter niet alleen de site. De manier waarop de kwetsbaarheden worden gepresenteerd, is ook een probleem met de tekening. De site met kwetsbaarheidsinformatie bevat een interview met een van de onderzoekers, zit vol met infographics en andere media, heeft spannende en pakkende namen voor de problemen en lijkt overdreven voor het vrijgeven van een kwetsbaarheid. (Een kwetsbaarheid die ze AMD minder dan 24 uur hadden gegeven om te herstellen, let op!)
CTS Labs gaf daar ook hun reden voor. CTS Ilia Luk-Zilberman van CTS Labs legt dat uit “de huidige structuur van 'Responsible Disclosure' heeft een zeer ernstig probleem.” Bovendien, zij “denk dat het moeilijk te geloven is dat we de enige groep in de wereld zijn die deze kwetsbaarheden heeft, gezien wie vandaag de acteurs in de wereld zijn.” U kunt hier de volledige brief lezen [PDF].
TL; DR: CTS Labs is van mening dat de 30/60/90 dagen wachttijd het gevaar voor al kwetsbare consumenten verlengt. Als onderzoekers de openbaarmaking meteen doen, dwingt dit de hand van het bedrijf om onmiddellijk te handelen. In feite is hun suggestie om validatie door derden te gebruiken, zoals CTS Labs dat deed met Dan Guido (waarvan de bevestigings-Tweet hierboven is gelinkt), verstandig - maar iets dat al gebeurt.
AMD Stock korten
Andere onderzoekers bagatelliseerden de ernst van de gebreken als gevolg van het vereiste niveau van systeemtoegang. Er waren nog vragen over de timing van het rapport toen bleek dat short-sellingbedrijf Viceroy Research een rapport uitbracht waarin werd verklaard dat AMD-aandelen mogelijk al hun waarde zouden verliezen. AMD-aandelen namen inderdaad een duik, samenvallend met de publicatie van het kwetsbaarheidverslag van CTS Labs, maar sloten de dag hoger dan voorheen.
Linux-kernel leadontwikkelaar Linus Torvalds gelooft ook dat de aanpak van CTS Labs nalatig is, wat beweert “Ja, het lijkt meer op voorraadmanipulatie dan een beveiligingsadvies voor mij.” Torvalds betreurt ook de onnodige hype rond de release, bewerend dat veiligheidsonderzoekers “Zie er als clowns uit.”
Torvalds tieren is niet ongekend. Maar hij heeft gelijk. Het komt ook op de rug van een ander “beveiligingsalarm” vereist dat zowel een verschrikkelijke SSH als een verschrikkelijk root-wachtwoord werken. Torvalds (en andere veiligheidsonderzoekers en -ontwikkelaars) wijzen erop dat het soms, omdat een fout gevaarlijk en exotisch klinkt, het geen groot probleem voor het grote publiek maakt..
Kun je veilig blijven?
Wel, het is een gemengde veiligheidstas. Is uw AMD Ryzen CPU kwetsbaar? Jawel. Is het waarschijnlijk dat je AMD Ryzen CPU een exploit van deze manier ziet? Het is enigszins onwaarschijnlijk, althans op de korte termijn.
Dat gezegd hebbende, moeten degenen met een AMD Ryzen-systeem hun beveiligingswaakzaamheidsniveau de komende weken verhogen totdat AMD een beveiligingspatch kan vrijgeven. Hopelijk zijn ze een beter zicht dan de Spectre / Meltdown-patches. Zijn we nog veilig van spook en afsmelting? Zijn we nog beschermd tegen spook en afsmelten? De onthullingen over de kwetsbaarheid van de Spectre en Meltdown-processor waren een schokkend begin tot 2018. Hebben de patches gewerkt? Zijn we dichter bij het oplossen van deze kwetsbaarheden? Lees verder !
Ontdek meer over: AMD-processor, Computerbeveiliging.