AMD ha svolto una "prima valutazione tecnica" sulle vulnerabilità indicate da CTS Labs (con modi piuttosto inconsueti, per non dire di peggio) che riguardano i processori Ryzen, EPYC e le piattaforme che li supportano. La casa di Sunnyvale ha confermato l'esistenza delle falle - in un post del CTO Mark Papermaster - e promette l'arrivo dei primi correttivi già nelle prossime settimane.
"Questi problemi di sicurezza non sono legati all'architettura Zen o agli exploit resi pubblici da Google Project Zero il 3 gennaio. Invece, si tratta di problemi associati al firmware che gestisce il processore integrato per il controllo della sicurezza presente in alcuni nostri prodotti (AMD Secure Processor) e il chipset usato in alcune piattaforme desktop AM4 e TR4", spiega Papermaster.
Secondo il dirigente "è importante notare che tutti i problemi sollevati nella ricerca richiedono accesso amministrativo al sistema, un tipo di accesso che dà agli utenti accesso senza restrizioni al computer il diritto di cancellare, creare o modificare qualsiasi cartella o file, nonché modificare qualsiasi impostazione".
Con l'accesso amministrativo un malintenzionato avrebbe a sua disposizione una vasta gamma di attacchi "ben oltre gli exploit identificati in questa ricerca", aggiunge Papermaster, spiegando come tutti i sistemi operativi moderni e gli hypervisor aziendali abbiano molti controlli di sicurezza efficaci, come Microsoft Windows Credential Guard in ambiente Windows, atti a impedire l'accesso amministrativo non autorizzato.
Il dirigente di AMD rimanda per ulteriori dettagli a questo post di Trail of Bits, società indipendente di ricerca contattata proprio da CTS Labs per verificare le scoperte. Le patch arriveranno sotto forma di aggiornamenti BIOS distribuiti quindi dai produttori di PC e di motherboard.
Non è necessario un aggiornamento del microcode, almeno così sembra (AMD continuerà ad analizzare le falle e potrebbe fornire maggiori informazioni). Cosa più importante AMD non si attende alcun impatto prestazionale; come spiegato e chiaro fin dall'inizio, non siamo davanti a un problema dell'architettura Zen.
AMD sembra quindi piuttosto tranquilla e probabilmente se CTS Labs le avesse concesso i canonici 90 giorni di tempo prima rendere pubblico quanto scoperto, forse ci sarebbe stata meno eco mediatica attorno alla vicenda - giustificata però dal fatto che CTS Labs ha appunto infranto il modus operandi tradizionale.
Oltre a risolvere i problemi del Secure Processor, questa vicenda forse servirà ad AMD in un frangente: richiedere maggiore sicurezza ai propri partner. Secondo quanto affermato da CTS Labs, la ricerca sulle piattaforme AMD affonda le radici in una precedente analisi sui prodotti ASMedia, l'azienda che progetta e produce i chipset per le piattaforme di ultima generazione.
