Ryzen, EPYC, Ryzen Pro e Ryzen Mobile avrebbero diverse falle di sicurezza. A dirlo è l'israeliana CTS-Labs, che ha pubblicato un whitepaper e un sito dedicato (amdflaws.com) in cui illustra quattro classi di potenziali falle nelle CPU più recenti di AMD (Ryzenfall, MasterKey, Fallout e Chimera).
La casa di Sunnyvale si trova un po' presa alla sprovvista, in quanto la pubblicazione è avvenuta senza seguire i classici 90 giorni dalla comunicazione del problema all'azienda, ma dopo appena 24 ore. il che francamente è poco gradevole per l'azienda e sicuramente è una pratica che non piace nemmeno a noi (qui altri punti oscuri della vicenda). Ma tant'è, veniamo ai fatti noti.
"In AMD la sicurezza è la priorità massima e lavoriamo continuamente per assicurare la sicurezza dei nostri utenti al sorgere di nuovi rischi. Stiamo indagando su questo report, che abbiamo appena ricevuto, per capire la metodologia e il merito delle scoperte", è al momento la posizione ufficiale di AMD.
Per cui al momento AMD non ha confermato i problemi sollevati dall'azienda di sicurezza israeliana. Le falle di sicurezza scovate si accentrano intorno al Secure Processor delle CPU e al chipset Promontory, e ricadono come detto in quattro categorie a cui CTS-Labs ha dato un nome probabilmente per aumentare l'eco mediatica, un po' come Meltdown e Spectre, le falle comunicate a inizio gennaio e che hanno colpito gran parte dei processori mondiali.
Il primo exploit, in tre varianti, si chiama MasterKey. Permette l'esecuzione di codice arbitrario all'interno del Secure Processor della CPU, ma richiede che il malintenzionato esegua un "reflash" del BIOS con un aggiornamento che attacchi il chip ARM Cortex M5 che rappresenta il cuore di tale Secure Processor.
In una versione di MasterKey, l'aggiornamento del BIOS usa metadati per sfruttare la vulnerabilità, ma la sostanza è che aggira l'Hardware Validated Boot (HVM).
MasterKey consentirebbe di disattivare funzionalità di sicurezza, come Firmware Trusted Platform Module (fTPM) o Secure Encrypted Virtualization (SEV), favorendo attacchi casuali basati sull'hardware.
CTS-Labs afferma che American Megatrends, fornitore comune di BIOS per sistemi Ryzen, rende il reflash del BIOS molto semplice, a patto che il malintenzionato abbia un BIOS compatibile.
Secondo CTS-Labs MasterKey-1 e Masterkey-2 sono state sfruttate con successo sui processori EPYC e Ryzen, e solo teorizzate su Ryzen Pro e Ryzen Mobile tramite un esame del codice.
MasterKey-3 non è stata sperimentata sul campo. Per proteggersi è necessario impedire aggiornamenti non autorizzati del BIOS, anche se un sistema compromesso sfruttando un'altra falla - Ryzenfall, di cui parleremo più avanti - potrebbe superare questa misura preventiva.
Gli exploit Chimera (hardware e software) si concentrano sul chipset Promontory, e le backdoor nascoste dal produttore che consentono l'esecuzione di codice remoto. L'exploit permette di eseguire codice maligno che può attaccare qualsiasi dispositivo collegato attraverso il chipset, come dispositivi SATA, USB, PCIe e di rete.
Questo permette di installare logger o soluzioni che superano la protezione della memoria. CTS-Labs dice che si potrebbe installare un malware e prendere di mira l'engine Direct Memory Access (DMA) del chipset, portando a un attacco al sistema operativo.
CTS-Labs ha testato con successo Chimera su processori Ryzen e Ryzen Pro, tramite l'uso di un malware su una macchina locale con privilegi di amministrazione elevati e un driver firmato digitalmente. L'azienda dice anche che un attacco al firmware eseguito con successo sarebbe "notoriamente difficile da rilevare o rimuovere".
Arriviamo a Ryzenfall. Qui si parla di ben quattro varianti, che si concentrano attorno all'AMD Secure OS, il sistema operativo del Secure Processor. Il processore come detto è un ARM Cortex-A5, si affida ad ARM TrustZone, ed è responsabile della sicurezza sul chip, crittografia e password incluse.
CTS-Labs ritiene che l'exploit Ryzenfall permetta a un malintenzionato di accedere a regioni di memoria protette che sono di solito sigillate dall'hardware, come Windows Isolated User Mode, Isolated Kernel Mode, Secure Management RAM e AMD Secure Processor Fenced DRAM.
Un attacco di successo, tramite privilegi di amministrazione elevati e un driver fornito dal fornitore, consentirebbe letture e scritture della memoria protetta, disattivando la protezione della memoria protetta o permettendo l'esecuzione di codice arbitrario.
Fallout - in tre versioni - colpisce solo i processori EPYC ed è simile a Ryzenfall. Infatti, modo e risultati descritti sono simili, ma riguardano la compromissione del Boot Loader nel Secure Processor. È un altro attacco che richiede privilegi elevati e passa da un driver firmato, e come Ryzenfall consente l'accesso a regioni di memoria protette.
CTS-Labs ha usato un nome separato perché può bypassare la sicurezza basata sulla virtualizzazione Microsoft, aprire il BIOS per fare il flashing, e permettere a un malware di essere iniettato nella memoria protetta che è al di fuori dalla protezione della maggior parte di soluzioni di sicurezza.
In attesa che AMD indaghi, CTS-Labs afferma di aver condiviso i metodi specifici usati e gli exploit dei processori con AMD, così come ha diffuso i dettagli solo con aziende di sicurezza selezionate e gli enti preposti USA.
Sebbene gli exploit siano complessi da sfruttare in quanto richiedono un accesso di amministrazione con privilegi elevati ai sistemi e presenza fisica per attuare un primo attacco, i ricercatori si ritengono preoccupati per le "pratiche di sicurezza e il controllo qualità di AMD" e aggiungono che la quantità delle falle equivale al "totale disprezzo dei principi di sicurezza fondamentali".
Ovviamente teniamo "le antenne puntate" sulla vicenda e cercheremo di aggiornarvi il prima possibile e al meglio che possiamo.
Aggiornamento
CTS Labs ha dichiarato a TechPowerUp di aver inviato ad AMD, insieme ad altre grandi realtà tecnologiche, un "pacchetto completo di ricerca", che include "l'esposizione completa dei dettagli tecnici sulle falle", "codice exploit proof-of-concept funzionante" e "istruzioni su come riprodurre ogni vulnerabilità". Ha inoltre aggiunto che oltre ad AMD, il pacchetto è stato inviato a Microsoft, HP, Dell, Symantec, FireEye e Cisco Systems, per aiutarli a sviluppare patch e mitigazioni".