Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Scoperte gravi falle e backdoor in processori AMD

AMD  AMDFlaws   giovedì, 15 marzo 2018

La società israeliana CTS-Labs ha recentemente pubblicato i risultati di una ricerca che avrebbe condotto alla scoperta di diverse falle di sicurezza nei processori delle famiglie EPYC, Ryzen, Ryzen Pro e Ryzen Mobile prodotti da AMD. Questi processori sono utilizzati in ambienti Server (piattaforme Cloud, Domain Controller), in PC desktop e notebook, in piattaforme embedded e dispositivi mobili.

I ricercatori hanno identificato un totale di 13 problematiche diverse, battezzate collettivamente col nome AMDFlaws. Lo sfruttamento di queste criticità da parte di un attaccante può consentire l’accesso a dati sensibili, l’installazione di malware avanzati non rilevabili ed il pieno controllo della macchina compromessa.

Le vulnerabilità sono state ripartite dagli scopritori in quattro categorie distinte. Nel dettaglio:

  • RYZENFALL – Vulnerabilità all’interno di AMD Secure OS che possono consentire esecuzione di codice arbitrario:
    • le problematiche permettono di effettuare letture o scritture in aree protette (ad es., memoria riservata a Windows Defender Credential Guard);
    • un attaccante locale può usare RYZENFALL per rubare credenziali di rete, estendere le attività di attacco e condurre ulteriori movimenti laterali;
    • l’utilizzo di RYZENFALL in congiunzione con MASTERKEY può inoltre permettere l’installazione di malware.
  • FALLOUT – Criticità nel componente boot loader all’interno del Secure Processor della famiglia EPYC che permette accesso ad aree privilegiate:
    • l’abuso delle funzionalità può permettere letture e/o scritture di aree di memoria privilegiate ed isolate;
    • un attaccante locale può usare FALLOUT per rubare credenziali di rete, estendere le attività di attacco e condurre ulteriori movimenti laterali, oltre che per iniettare malware all’interno di aree di memoria privilegiate;
    • un attaccante può sfruttare FALLOUT per aggirare le protezioni del BIOS.
  • CHIMERABackdoor all’interno dei chipset AMD sia firmware, sia hardware:
    • le backdoor possono essere utilizzate per eseguire codice all’interno dei chipset AMD Ryzen e possono inoltre consentire l’accesso a canali quali CPUUSB, SATA, dispositivi PCI-E, rete, Wi-Fi e Bluetooth. Un attaccante locale può sfruttare queste falle per intercettare dati sensibili. 
    • risulta possibile l’installazione di impianti malware chipset-based, invisibili ai sistemi di sicurezza installati sulla macchina host.
  • MASTERKEY – Vulnerabilità mediante le quali è possibile effettuare aggirare le funzioni di AMD Hardware Validated Boot ed eseguire codice arbitrario:
    • un attaccante locale può essere in grado di installare malware persistente ed invisibile alle soluzioni di sicurezza installate all’interno della macchina;
    • la criticità permette di aggirare i controlli di sicurezza imposti da Secure Encrypted Virtualization e Firmware Trusted Platform Module e facilita inoltre il furto di credenziali tramite l’aggiramento di Windows Defender Credential Guard;
    • attaccanti in grado di sfruttare la criticità sono in grado di attuare sabotaggi e danneggiamenti fisici dell’hardware, prefigurando nuovi scenari di attacchi di tipo “ransom”.

Il seguente schema riporta la mappatura delle criticità sulle famiglie di processori AMD affette.

AMDFlaws

Mappatura delle vulnerabilità AMDFlaws (Fonte: CTS-Labs)

I ricercatori hanno informato AMD della scoperta ma hanno rivelato pubblicamente l’esistenza delle falle dopo appena 24 ore, invece di seguire la comune pratica per la responsible disclosure che prevede di attendere un tempo congruo di 90 giorni, al fine di consentire al produttore di analizzare la problematica ed eventualmente rilasciare soluzioni correttive.

La compagnia ha pubblicato un sito Web dedicato (AMDFLAWS) e un documento tecnico nel quale viene spiegato il funzionamento delle vulnerabilità, senza però includere tutti i dettagli tecnici che potrebbero essere utilizzati da attori malevoli per creare exploit ad hoc.

Questo atteggiamento da parte di CTS-Labs ha sollevato non poche critiche da parte della comunità degli esperti di cyber security e degli hacker etici, tanto da far sorgere dubbi sulle reali motivazioni dei ricercatori e persino sull’effettiva gravità delle vulnerabilità riscontrate.

CTS-Labs ha sottoposto i dettagli tecnici delle vulnerabilità all’esame di altri ricercatori indipendenti, i quali hanno confermato l’esistenza delle falle. Sulla base di quanto finora emerso, si può affermare che gli exploit sono di difficile realizzazione, in quanto richiedono l’accesso in locale sulla macchina con privilegi elevati. Questo significa che le vulnerabilità dei processori possono essere sfruttate solamente nell’ambito di uno stadio successivo di un attacco che abbia già portato alla compromissione totale della macchina bersaglio.

Al momento non ci sono notizie che queste vulnerabilità siano state sfruttate in attacchi reali. AMD sta ancora indagando e per ora non ha rilasciato informazioni dettagliate, né aggiornamenti specifici, riguardo questa problematica. Ciò non toglie che queste falle, qualora venissero confermate da AMD, potrebbero avere un impatto non trascurabile sulle infrastrutture che utilizzano i chipset di questo produttore.

Fonte: Yoroi

Notizie correlate

AMD rilascia aggiornamenti per CPU vulnerabili ad attacchi Spectre tipo 2

12 aprile 2018

AMD ha rilasciato aggiornamenti del microcodice per i processori vulnerabili agli attacchi Spectre di tipo 2. Microsoft ha rilasciato patch specifiche per Windows 10 su piattaforme AMD.Leggi tutto

AMD conferma falle nei processori e annuncia aggiornamenti del firmware

21 marzo 2018

AMD ha confermato in un comunicato la presenza delle falle note come AMDFlaws nei processori EPYC e Ryzen ed ha annunciato il rilascio di aggiornamenti nelle prossime settimane.Leggi tutto