Descubiertas 13 posibles vulnerabilidades graves en Procesadores AMD Ryzen.

upload_2018-3-13_13-35-57.png

Investigadores de la empresa CTS-Labs afirman haber encontrado 13 vulnerabilidades que afectan a procesadores de las familias AMD Ryzen (escritorio) y AMD EPYC (servidores).

Estas vulnerabilidades podrían ser explotadas por parte de potenciales atacantes para instalar malware en partes teóricamente seguras de estos procesadores que darían acceso completo a todos los datos(privilegiados o no) de las máquinas en las que están instaladas.

Según CTS-Labs, las 13 vulnerabilidades descubiertas se han dividido en cuatro grupos que afectan a los procesadores de escritorio (Ryzen y Ryzen Workstation) y procesadores para servidores (EPYC y EPYC PRO) de AMD.

En todas ellas, explican estos investigadores, se logra acceso al AMD Secure Processor, una parte protegida del procesador en la que encontramos datos privilegiados a los que tanto desarrolladores como potenciales atacante no tienen nunca acceso directo. Los cuatro grupos de vulnerabilidades son los siguientes:
  1. Ryzenfall: afecta a procesadores Ryzen y permite al malware que la aprovechase tomar control del procesador, incluidos los datos protegidos como claves de cifrado o contraseñas. Normalmente un atacante no tiene acceso a estas regiones de memoria, pero esta vulnerabilidad permitiría lograr ese acceso. Un ataque de este tipo permitiría a un ciberatacante superar el sistema Windows Defender Credential Guard, por ejemplo.
  2. Masterkey: afecta tanto a los Ryzen como a los EPYC, y permite a un ciberatacante instalar malware persistente e incluso superar la protección de mecanismos como el Secure Encrypted Virtualization (SEV) y el Firmware Trusted Platform Module (TPM) de estos procesadores. Esta vulnerabilidad es capaz de instalar malware en la BIOS de estos sistemas, controlando así el inicio de los sistemas operativos instalados en las máquinas afectadas.
  3. Fallout: en este caso los procesadores afectados son los EPYC, y con esta vulnerabilidad un ciberatacante podría acceder y robar las credenciales que se propagan a lo largo de una red. Normalmente estas se almacenana en una máquina virtual segregada, explicaba el CEO de CTS-Labs, Ido Li On, pero con este problema esa segregación que protege esas credenciales queda rota.
  4. Chimera: este problema en realidad proviene de dos, uno en el firmware y otro en el hardware de los procesadores AMD. Explotando estas vulnerabilidades se podrían instalar keyloggers y otros tipos de malware tanto en el sistema operativo de la víctima como en el propio procesador.
Segun esta informacion las vulnerabilidades son mucho mas graves que las famosas "spectre" y "meltdown" ya que no solo afecta a la cpu sino al chipset, pudiendo incluso instalar codigo malicioso en el firmware del dispositivo e inclusive causar daños fisicos al hardware (al board, por ejemplo).

Para mas información pueden dirigirse a la pagina https://amdflaws.com/

Por su parte AMD ha hecho las siguientes declaraciones: "Acabamos de recibir un reporte de una compañia llamada CTS Labs, referente a que hay potenciales vulnerabilidades de seguridad a algunos de nuestro procesadores. Estamos investigando activamente y analizando sus hallazgos. Esta compañia era desconocida para AMD y encontramos poco usual que una firma de seguridad de a conocer sus investigaciones a la prensa, sin dar un tiempo razonable a la compañia para investigar y direccionar sus hallazgos. En AMD la seguridad es una alta prioridad y continuamente trabajamos para garantizar la seguridad de nuestros usuarios segun surjan nuevos riesgos potenciales"

Por tanto, y hasta no tener un comunicado oficial, debemos tomar esta información "con pinzas" y estar atentos a como se desarrolla esta tormenta que se cierne sobre la compañía de Santa Clara.

Fuentes:

Xataca
AmdFlaws

Edit 16/03/2018

Se empieza a abrir el paraguas?

En la pagina amdflaws se publico una "clarificacion" de los ataques en lugar del video de youtube que antes estaba en la pagina, para que uds mismos lo lean:

https://safefirmware.com/Whitepaper+Clarification.pdf

El tema es que aclaran que los ataques son de "segunda etapa" donde dicen que esto afecta mas que todo a grandes empresas y entornos cloud.

Para terminar de rematar en dos sitios muy conocidos de tecnologia Tom´s Hardware y AnandTech se han publicado conversaciones con preguntas a los desconocidos CTS-Labs. Las respuestas obtenidas dejan mucho que pensar de las intenciones reales de esta "compañia de seguridad"

Les dejo los articulos para que los lean y saquen sus conclusiones

AnandTech
"Nuestra Interesante Llamada con CTS-Labs"
https://www.anandtech.com/show/12536/our-interesting-call-with-cts-labs

TomsHardware
"La entrevista de AnandTecha CTS deja mas preguntas acerca de las vulverabilidades reveladas de AMD"
http://www.tomshardware.com/news/cts-labs-responds-amd-vulnerability-disclosure,36680.html

Edit 20/03/2018

La respuesta oficial de AMD

AMD ha respondido a las vulnerabilidades mencionadas y en resumidas cuentas:
  1. Todas las vulnerabilidades estan confirmadas, pero requieren acceso de administrador
  2. Las vulnerabilidades NO estan relacionadas con la arquitectura Ryzen, estan relacionadas con el firmware que maneja el procesador de seguridad de AMD y en algunos chipsets de la plataforma socket AM4
  3. Las vulnerabilidades seran solucionadas en SEMANAS, no MESES como aseguraba CTS-Labs. A travez de patches al firmware y actualizaciones de BIOS.
  4. No se espera ningún impacto en el rendimiento luego del parchado
El comunicado completo aqui:

https://community.amd.com/community...amd-technical-assessment-of-cts-labs-research

Adicionalmente la firma a la cual CTS-Labs PAGO para realizar las pruebas (Trails-of-bits) de estas vulnerabilidades declaro en su pagina web lo siguiente:

"No hay riesgo inmediato de explotación de estas vulnerabilidades para la mayoría de usuarios. Inclusive si todos los detalles técnicos fueran publicados el dia de hoy, los atacantes deberían realizar un gran esfuerzo en desarrollar herramientas que utilizaran estas vulnerabilidades. Ese nivel de esfuerzo esta fuera del alcance de la mayoría de atacantes"

El articulo aqui: https://blog.trailofbits.com/2018/03/15/amd-flaws-technical-summary/
 
Última edición:
" En algunos foros de debate como Reddit o Hacker News varios comentarios apuntan a que ese interés económico que reconocían en CTS-Labs pudiera ser en realidad la única motivación de la forma de actuar de la compañía. La manipulación del precio de las acciones, argumentan algunos, podría ser la razón de esta forma de actuar por parte de CTS-Labs.

El impacto y gravedad de los fallos tampoco está claro, y la información sobre estos problemas no está respaldada por informes CVE como los que sí aparecieron para las vulnerabilidades Meltdown y Spectre. Todo esto no significa que los problemas no existan, pero desde luego la forma de actuar de CTS-Labs es ciertamente discutible y, hasta cierto punto, sospechosa. Estaremos atentos a las novedades y a los comentarios que AMD pueda hacer sobre la materia en las próximas horas."

Fuente. Xacata.com
 
Última edición:
  • Me gusta
Reacciones: DominicFX y jpm_fan
Esto un hit job (una "vuelta") de Intel, sin lugar a dudas.
  1. A AMD le ha ido de maravilla con sus nuevos procesadores, e Intel ha sido sumamente vilipendiado por las vulnerabilidades que demoró más de 6 meses en "mitigar" (porque ni siquiera podemos hablar de corregir).
  2. La empresa que revela las supuestas vulnerabilidades (CTS-Labs) completamente desconocida en ámbito de la ciberseguridad, y son israelitas (al igual que Intel). En LinkedIn solamente aparecen 3 empleados bajo la empresa, y el CEO es ex-Mossad.
  3. Revelan 13 supuestas vulnerabilidades, solamente dándole 24 horas de preaviso a AMD, cuando normalmente para este tipo de casos especialistas en ciberseguridad dan 90 días (y a Intel como gran excepción les dieron 6 meses por Meltdown/Spectre)
  4. El sitio amdflaws.com está demasiado adornado, e incluso contrataron una empresa de relaciones públicas a que les maneje el contacto, algo que jamás ha ocurrido con ninguna otra vulnerabilidad, el whitepaper es pura propaganda y nada de metodología.
  5. Tienen un disclaimer en amdflaws.com en donde dicen "The report and all statements contained herein are opinions of CTS and are not statements of fact" (que el reporte y todo lo dicho en el sitio son opiniones, no hechos) y además "Although we have a good faith belief in our analysis and believe it to be objective and unbiased, you are advised that we may have, either directly or indirectly, an economic interest in the performance of the securities of the companies whose products are the subject of our reports." (que puede que tengan un interés financiero en las compañias afectadas ya sea de forma directa o indirecta). ¡Tamaña admisión de su ostensible mala conducta profesional, y eso por no asumir enseguida práctica abusiva o incluso ilegal!
  6. El dominio amdflaws.com apenas fue registrado el 22 de febrero, y la información de registro está oculta con un servicio de WhoisGuard (es decir que intencionalmente no muestran quién lo registro), algo por lo menos curioso para una empresa respetable.
  7. Los videos en donde salen los supuestos empleados de esta empresa usan pantalla verde ya que los fondos del video no son en realidad las instalaciones de la empresa sino imágenes stock. Además los videos son más publicitarios y llaman al pánico, en vez de ser académicos como normalmente lo son cuando sale una nueva vulnerabilidad. Tampoco aceptan comentarios en los videos, y son los únicos 2 videos que tienen en su canal de YouTube.
  8. Las vulnerabilidades solamente pueden ser explotadas si ya se tienen privilegios de administrador, o si se flashea el BIOS. Muñecos, si el atacante de por sí ya tiene privilegios de administrador en su computador, eso quiere decir que ya los pwneó, no les toca hacer nada adicional. Y lo de flashear el BIOS es más estúpido aún porque si alguien logra acceso físico a su computador y es capaz incluso de flashear el BIOS, pues de por sí ya estaban pwnearlos. Y eso sin contar con que algunos de los supuestos ataques requieren controladores fraudulentos que estén legítimamente firmados por AMD.
  9. Al mismo tiempo que salió la noticia, una empresa financiera especializada en acabar acciones de compañías (shorters profesionales) enseguida salieron a decir que AMD estaba acabado y que su stock valía cero (tratando de sembrar pánico en los inversionistas). Por suerte la gente fue cautelosa y las acciones si bien bajaron unos pocos centavos, enseguida subieron y cerraron con un alza del 1%
  10. "Casualmente" el CEO de AMD va a ser entrevistado esta semana por CNBC, y ya estaba programado desde antes que saliera esta historia.
En fin...

thejewsdidthis.gif
 
Última edición:
Esto un hit job (una "vuelta") de Intel, sin lugar a dudas.
  1. Las vulnerabilidades solamente pueden ser explotadas si ya se tienen privilegios de administrador, o si se flashea el BIOS. Muñecos, si el atacante de por sí ya tiene privilegios de administrador en su computador, eso quiere decir que ya los pwneó, no les toca hacer nada adicional. Y lo de flashear el BIOS es más estúpido aún porque si alguien logra acceso físico a su computador y es capaz incluso de flashear el BIOS, pues de por sí ya estaban pwnearlos. Y eso sin contar con que algunos de los supuestos ataques requieren controladores fraudulentos que estén legítimamente firmados por AMD.

De todo lo que ustedes han acertadamente comentado, lo anterior a nivel técnico es lo que me parece mas importante. Estas "vulneabilidades" necesitan un nivel de privilegios realmente alto.

Ahora bien, un detalle que me hace dudar mucho es el tema de los nombres, para spectre/meltdown tuvieron sus motivos particulares:

https://mashable.com/2018/01/05/meltdown-spectre-names-cpu-bug/#psKZ2nvgxSq1

Estas me parecen DEMASIADO mercadeadas. No producto de un consenso en la comunidad que entre otras NO HUBO.

Ahora bien toda la comunidad tech esta demasiado sospechosa por estas movidas tan discutibles de la muy desconocida CTS-Labs sobre todo por el tema de las 24horas que mas parece apuntar a el tema de la baja de las acciones mas que otra cosa.
 
Amd trabaja diario para mantener sus productos actualizados,no se pero un ryzen es la mejor inversion en estos tiempos que todo esta caro.
 
pa cuando lo nuevo

Finalizando mayo el patch estaba en "final testing" osea que faltarían uno o dos meses para el release definitivo. Sin embargo desde el patch de spectre se actualizo a la versión de agesa 1.0.0.2a donde el firmware de el psp que era el afectado fue cifrado y *quizá* levemente modificado. Pero pues esto no se sabrá hasta que amd haga un anuncio oficial.
 
Finalizando mayo el patch estaba en "final testing" osea que faltarían uno o dos meses para el release definitivo. Sin embargo desde el patch de spectre se actualizo a la versión de agesa 1.0.0.2a donde el firmware de el psp que era el afectado fue cifrado y *quizá* levemente modificado. Pero pues esto no se sabrá hasta que amd haga un anuncio oficial.
gracias esetam uy interesante con que van a salir a ver si por fin me paso a amd
 
Creo que no es buena idea comprar procesadores actuales, es necesario esperar a nuevas generaciones que ya vengan con el microcodigo y arquitectura totalmente nuevos (por ahí 1 año) que no sean necesario parchar ya que se pierde rendimiento y nadie es claro al respecto, este tema lo están tratando los fabricantes por la sombrita hay que estar pilas a ver como saldrán los dichosos parches.
 
Creo que no es buena idea comprar procesadores actuales, es necesario esperar a nuevas generaciones que ya vengan con el microcodigo y arquitectura totalmente nuevos (por ahí 1 año) que no sean necesario parchar ya que se pierde rendimiento y nadie es claro al respecto, este tema lo están tratando los fabricantes por la sombrita hay que estar pilas a ver como saldrán los dichosos parches.
Yo andaba pensando lo mismo, pero será que afecta tanto el rendimiento? viene en camino el Ryzen 2500x , ese ya vendría sin eso?
 
Recientemente se descubrió otra nueva vulnerabilidad grave llamada Spectre NG (New Generation) que llega a hacer compañia a las ya conocidas Spectre y Metdown, sin embargo esta NG no afecta a procesadores AMD con arquitectura ZEN solo a Intel. El asunto con los parches es que los sacarían par algunos sistemas como windows y linux pero por ejemplo windows se actualiza a cada momento y quien sabe si servirían los mismos parches o hasta cuando, así que esto es un punto mas a esperar, a ser pacientes y comprar algo que ya venga bien. Imagínense tener un procesador al cual ya no se pueda ni parchar con sistemas operativos nuevos, paila!

Se sabe que los nuevos procesadores con arquitectura ZEN+ ó ZEN 2 ya vendrían sin estas vulnerabilidades.
 
  • Me gusta
Reacciones: Sorrento

Investigadores de la empresa CTS-Labs afirman haber encontrado 13 vulnerabilidades que afectan a procesadores de las familias AMD Ryzen (escritorio) y AMD EPYC (servidores).

Estas vulnerabilidades podrían ser explotadas por parte de potenciales atacantes para instalar malware en partes teóricamente seguras de estos procesadores que darían acceso completo a todos los datos(privilegiados o no) de las máquinas en las que están instaladas.

Según CTS-Labs, las 13 vulnerabilidades descubiertas se han dividido en cuatro grupos que afectan a los procesadores de escritorio (Ryzen y Ryzen Workstation) y procesadores para servidores (EPYC y EPYC PRO) de AMD.

En todas ellas, explican estos investigadores, se logra acceso al AMD Secure Processor, una parte protegida del procesador en la que encontramos datos privilegiados a los que tanto desarrolladores como potenciales atacante no tienen nunca acceso directo. Los cuatro grupos de vulnerabilidades son los siguientes:
  1. Ryzenfall: afecta a procesadores Ryzen y permite al malware que la aprovechase tomar control del procesador, incluidos los datos protegidos como claves de cifrado o contraseñas. Normalmente un atacante no tiene acceso a estas regiones de memoria, pero esta vulnerabilidad permitiría lograr ese acceso. Un ataque de este tipo permitiría a un ciberatacante superar el sistema Windows Defender Credential Guard, por ejemplo.
  2. Masterkey: afecta tanto a los Ryzen como a los EPYC, y permite a un ciberatacante instalar malware persistente e incluso superar la protección de mecanismos como el Secure Encrypted Virtualization (SEV) y el Firmware Trusted Platform Module (TPM) de estos procesadores. Esta vulnerabilidad es capaz de instalar malware en la BIOS de estos sistemas, controlando así el inicio de los sistemas operativos instalados en las máquinas afectadas.
  3. Fallout: en este caso los procesadores afectados son los EPYC, y con esta vulnerabilidad un ciberatacante podría acceder y robar las credenciales que se propagan a lo largo de una red. Normalmente estas se almacenana en una máquina virtual segregada, explicaba el CEO de CTS-Labs, Ido Li On, pero con este problema esa segregación que protege esas credenciales queda rota.
  4. Chimera: este problema en realidad proviene de dos, uno en el firmware y otro en el hardware de los procesadores AMD. Explotando estas vulnerabilidades se podrían instalar keyloggers y otros tipos de malware tanto en el sistema operativo de la víctima como en el propio procesador.
Segun esta informacion las vulnerabilidades son mucho mas graves que las famosas "spectre" y "meltdown" ya que no solo afecta a la cpu sino al chipset, pudiendo incluso instalar codigo malicioso en el firmware del dispositivo e inclusive causar daños fisicos al hardware (al board, por ejemplo).

Para mas información pueden dirigirse a la pagina https://amdflaws.com/

Por su parte AMD ha hecho las siguientes declaraciones: "Acabamos de recibir un reporte de una compañia llamada CTS Labs, referente a que hay potenciales vulnerabilidades de seguridad a algunos de nuestro procesadores. Estamos investigando activamente y analizando sus hallazgos. Esta compañia era desconocida para AMD y encontramos poco usual que una firma de seguridad de a conocer sus investigaciones a la prensa, sin dar un tiempo razonable a la compañia para investigar y direccionar sus hallazgos. En AMD la seguridad es una alta prioridad y continuamente trabajamos para garantizar la seguridad de nuestros usuarios segun surjan nuevos riesgos potenciales"

Por tanto, y hasta no tener un comunicado oficial, debemos tomar esta información "con pinzas" y estar atentos a como se desarrolla esta tormenta que se cierne sobre la compañía de Santa Clara.

Fuentes:

Xataca
AmdFlaws

Edit 16/03/2018

Se empieza a abrir el paraguas?

En la pagina amdflaws se publico una "clarificacion" de los ataques en lugar del video de youtube que antes estaba en la pagina, para que uds mismos lo lean:

https://safefirmware.com/Whitepaper+Clarification.pdf

El tema es que aclaran que los ataques son de "segunda etapa" donde dicen que esto afecta mas que todo a grandes empresas y entornos cloud.

Para terminar de rematar en dos sitios muy conocidos de tecnologia Tom´s Hardware y AnandTech se han publicado conversaciones con preguntas a los desconocidos CTS-Labs. Las respuestas obtenidas dejan mucho que pensar de las intenciones reales de esta "compañia de seguridad"

Les dejo los articulos para que los lean y saquen sus conclusiones

AnandTech
"Nuestra Interesante Llamada con CTS-Labs"
https://www.anandtech.com/show/12536/our-interesting-call-with-cts-labs

TomsHardware
"La entrevista de AnandTecha CTS deja mas preguntas acerca de las vulverabilidades reveladas de AMD"
http://www.tomshardware.com/news/cts-labs-responds-amd-vulnerability-disclosure,36680.html

Edit 20/03/2018

La respuesta oficial de AMD

AMD ha respondido a las vulnerabilidades mencionadas y en resumidas cuentas:
  1. Todas las vulnerabilidades estan confirmadas, pero requieren acceso de administrador
  2. Las vulnerabilidades NO estan relacionadas con la arquitectura Ryzen, estan relacionadas con el firmware que maneja el procesador de seguridad de AMD y en algunos chipsets de la plataforma socket AM4
  3. Las vulnerabilidades seran solucionadas en SEMANAS, no MESES como aseguraba CTS-Labs. A travez de patches al firmware y actualizaciones de BIOS.
  4. No se espera ningún impacto en el rendimiento luego del parchado
El comunicado completo aqui:

https://community.amd.com/community...amd-technical-assessment-of-cts-labs-research

Adicionalmente la firma a la cual CTS-Labs PAGO para realizar las pruebas (Trails-of-bits) de estas vulnerabilidades declaro en su pagina web lo siguiente:

"No hay riesgo inmediato de explotación de estas vulnerabilidades para la mayoría de usuarios. Inclusive si todos los detalles técnicos fueran publicados el dia de hoy, los atacantes deberían realizar un gran esfuerzo en desarrollar herramientas que utilizaran estas vulnerabilidades. Ese nivel de esfuerzo esta fuera del alcance de la mayoría de atacantes"

El articulo aqui: https://blog.trailofbits.com/2018/03/15/amd-flaws-technical-summary/

Me suena a Intel haciendo control de daños debido a la perdida de clientes por sus vulnerabilidades de Spectre y amigos... Y eso que no hemos hablado de la curiosidad de ME en los procesadores Intel que Google está tratando de eliminar de sus servidores por seguridad.
 

Los últimos temas