Investigadores de la empresa CTS-Labs afirman haber encontrado 13 vulnerabilidades que afectan a procesadores de las familias AMD Ryzen (escritorio) y AMD EPYC (servidores).
Estas vulnerabilidades podrían ser explotadas por parte de potenciales atacantes para instalar malware en partes teóricamente seguras de estos procesadores que darían acceso completo a todos los datos(privilegiados o no) de las máquinas en las que están instaladas.
Según CTS-Labs, las 13 vulnerabilidades descubiertas se han dividido en cuatro grupos que afectan a los procesadores de escritorio (Ryzen y Ryzen Workstation) y procesadores para servidores (EPYC y EPYC PRO) de AMD.
En todas ellas, explican estos investigadores, se logra acceso al AMD Secure Processor, una parte protegida del procesador en la que encontramos datos privilegiados a los que tanto desarrolladores como potenciales atacante no tienen nunca acceso directo. Los cuatro grupos de vulnerabilidades son los siguientes:
- Ryzenfall: afecta a procesadores Ryzen y permite al malware que la aprovechase tomar control del procesador, incluidos los datos protegidos como claves de cifrado o contraseñas. Normalmente un atacante no tiene acceso a estas regiones de memoria, pero esta vulnerabilidad permitiría lograr ese acceso. Un ataque de este tipo permitiría a un ciberatacante superar el sistema Windows Defender Credential Guard, por ejemplo.
- Masterkey: afecta tanto a los Ryzen como a los EPYC, y permite a un ciberatacante instalar malware persistente e incluso superar la protección de mecanismos como el Secure Encrypted Virtualization (SEV) y el Firmware Trusted Platform Module (TPM) de estos procesadores. Esta vulnerabilidad es capaz de instalar malware en la BIOS de estos sistemas, controlando así el inicio de los sistemas operativos instalados en las máquinas afectadas.
- Fallout: en este caso los procesadores afectados son los EPYC, y con esta vulnerabilidad un ciberatacante podría acceder y robar las credenciales que se propagan a lo largo de una red. Normalmente estas se almacenana en una máquina virtual segregada, explicaba el CEO de CTS-Labs, Ido Li On, pero con este problema esa segregación que protege esas credenciales queda rota.
- Chimera: este problema en realidad proviene de dos, uno en el firmware y otro en el hardware de los procesadores AMD. Explotando estas vulnerabilidades se podrían instalar keyloggers y otros tipos de malware tanto en el sistema operativo de la víctima como en el propio procesador.
Para mas información pueden dirigirse a la pagina https://amdflaws.com/
Por su parte AMD ha hecho las siguientes declaraciones: "Acabamos de recibir un reporte de una compañia llamada CTS Labs, referente a que hay potenciales vulnerabilidades de seguridad a algunos de nuestro procesadores. Estamos investigando activamente y analizando sus hallazgos. Esta compañia era desconocida para AMD y encontramos poco usual que una firma de seguridad de a conocer sus investigaciones a la prensa, sin dar un tiempo razonable a la compañia para investigar y direccionar sus hallazgos. En AMD la seguridad es una alta prioridad y continuamente trabajamos para garantizar la seguridad de nuestros usuarios segun surjan nuevos riesgos potenciales"
Por tanto, y hasta no tener un comunicado oficial, debemos tomar esta información "con pinzas" y estar atentos a como se desarrolla esta tormenta que se cierne sobre la compañía de Santa Clara.
Fuentes:
Xataca
AmdFlaws
Edit 16/03/2018
Se empieza a abrir el paraguas?
En la pagina amdflaws se publico una "clarificacion" de los ataques en lugar del video de youtube que antes estaba en la pagina, para que uds mismos lo lean:
https://safefirmware.com/Whitepaper+Clarification.pdf
El tema es que aclaran que los ataques son de "segunda etapa" donde dicen que esto afecta mas que todo a grandes empresas y entornos cloud.
Para terminar de rematar en dos sitios muy conocidos de tecnologia Tom´s Hardware y AnandTech se han publicado conversaciones con preguntas a los desconocidos CTS-Labs. Las respuestas obtenidas dejan mucho que pensar de las intenciones reales de esta "compañia de seguridad"
Les dejo los articulos para que los lean y saquen sus conclusiones
AnandTech
"Nuestra Interesante Llamada con CTS-Labs"
https://www.anandtech.com/show/12536/our-interesting-call-with-cts-labs
TomsHardware
"La entrevista de AnandTecha CTS deja mas preguntas acerca de las vulverabilidades reveladas de AMD"
http://www.tomshardware.com/news/cts-labs-responds-amd-vulnerability-disclosure,36680.html
Edit 20/03/2018
La respuesta oficial de AMD
AMD ha respondido a las vulnerabilidades mencionadas y en resumidas cuentas:
- Todas las vulnerabilidades estan confirmadas, pero requieren acceso de administrador
- Las vulnerabilidades NO estan relacionadas con la arquitectura Ryzen, estan relacionadas con el firmware que maneja el procesador de seguridad de AMD y en algunos chipsets de la plataforma socket AM4
- Las vulnerabilidades seran solucionadas en SEMANAS, no MESES como aseguraba CTS-Labs. A travez de patches al firmware y actualizaciones de BIOS.
- No se espera ningún impacto en el rendimiento luego del parchado
https://community.amd.com/community...amd-technical-assessment-of-cts-labs-research
Adicionalmente la firma a la cual CTS-Labs PAGO para realizar las pruebas (Trails-of-bits) de estas vulnerabilidades declaro en su pagina web lo siguiente:
"No hay riesgo inmediato de explotación de estas vulnerabilidades para la mayoría de usuarios. Inclusive si todos los detalles técnicos fueran publicados el dia de hoy, los atacantes deberían realizar un gran esfuerzo en desarrollar herramientas que utilizaran estas vulnerabilidades. Ese nivel de esfuerzo esta fuera del alcance de la mayoría de atacantes"
El articulo aqui: https://blog.trailofbits.com/2018/03/15/amd-flaws-technical-summary/
Última edición: