AMD potwierdza luki w zabezpieczeniach procesorów. Klienci muszą czekać na aktualizację

W Internecie pojawiły się wiarygodne informacje na temat usterek związanych z cyfrowym bezpieczeństwem w układach scalonych firmy AMD. Konkretniej w chipsetach i układach PSP (Platform Security Processor) tej firmy. Producent odniósł się do zarzutów i potwierdził istnienie tych usterek. Dodał jednak, że problem rozwiąże aktualizacja oprogramowania układowego, która w przeciwieństwie do łatek usuwających usterki Spectre i Meltdown w żaden sposób nie wpłynie na wydajność działania komputera.

Usterki wykryła izraelska firma CTS. Znalazła ich w sumie cztery, nazywając je Masterkey (związana z procesorami Ryzen i Epyc), Ryzenfall (związana z Ryzen, Ryzen Pro i Ryzen Mobile), Fallout (Epyc) i Chimera (procesory Ryzen i Ryzen Pro wykorzystujące chipset Promonotory).

Usterki Masterkey, Ryzenfall i Fallout są związane z modułem PSP. Ów moduł to niewielki rdzeń ARM, który odpowiada za sprzętowe zabezpieczenie typu TPM. Moduł PSP dysponuje własnym oprogramowaniem układowym i systemem operacyjnym, które działają niezależnie od głównego układu x86. Oprogramowanie działające na komputerze może się odwołać do układu PSP poprzez sterownik, choć tylko to oprogramowanie, które ma uprawnienia administracyjne i które nie jest wirtualizowane.

Usterki Ryzenfall i Fallout pozwalają cyberprzestępcy na zlecenie przetworzenia układowi PSP niezaufanego kodu, który z kolei może zapewnić atakującemu informację zwrotną na temat tego, co znajduje się w pamięci tego układu. Masterkey jest groźniejszy, pozwala bowiem na podmianę oprogramowania układowego PSP.

Chimera działa podobnie. Pozwala atakującemu na wykonanie w chipsecie Promonotory niezatwierdzonego kodu.

Firma AMD już pracuje nad aktualizacją oprogramowania układowego, która ma zostać udostępniona w najbliższych tygodniach. Z Chimerą jest nieco większy kłopot, bowiem chipset Promontory został zaprojektowany przez zewnętrzną firmę o nazwie ASMedia. AMD zapewnia jednak, że pracuje ze swoim partnerem w kwestii rozwiązania problemu i prawdopodobnie odpowiednie aktualizacje pojawią się w podobnym terminie. Aktualizacje te nie wpłyną – przynajmniej według zapewnień AMD – na stabilność pracy komputera czy jego wydajność. Natura usterek wydaje się potwierdzać to zapewnienie.

Usterek tych oczywiście nie należy bagatelizować. Na szczęście, by móc je wykorzystać, atakujący musi najpierw włamać się do systemu operacyjnego atakowanego urządzenia. Nie jest możliwe ich wykorzystanie bez uprawnień administratora systemu. Użytkownicy najnowszych wersji Windows i linuksowych odmian w teorii są więc bezpieczni.

Problem z cyberbezpieczeństwem to problem całej branży. Właściwie każde znane mi oprogramowanie otrzymuje regularnie aktualizacje związane z wykrytymi usterkami w zabezpieczeniach, w tym sterowniki czy oprogramowanie układowe. Dlatego też panuje pewien dobry zwyczaj związany z wykrywaniem takich usterek. Ich odkrywca zobowiązany jest ujawnić je dostawcy sprzętu lub oprogramowania w tajemnicy, by nie narażać na szwank bezpieczeństwa użytkowników urządzeń elektronicznych. Zwyczajowo dostawcom daje się kilka tygodni, by ci zdążyli usunąć problem, dopiero później informacje na temat tych usterek są publikowane.

CTS dało firmie AMD nierealny termin 24 godzin przed opublikowaniem swojego znaleziska. Co więcej, zanim CTS skontaktowało się z AMD, firma najpierw wysłała swój raport – razem z przykładowymi metodami ataków – zewnętrznej firmie Trail of Bits. Dziwnym zbiegiem okoliczności informacja ta trafiła następnie do giełdowego shortsellera Viceroy Research, który ogłosił, że usterki te to koniec firmy AMD i że wartość jej akcji szybko powinna osiągnąć zero.

W taki komunikat mógł uwierzyć tylko inwestor, który zna się na pieniądzach, ale niezupełnie na cyberbezpieczeństwie. Układ PSP można na znacznej części płyt głównych wyłączyć (tracąc funkcjonalność TPM), usterki mogą zostać załatane aktualizacją oprogramowania, a by je wykorzystać, potrzeba najpierw włamać się na najwyższy poziom uprawnień w systemie operacyjnym. Linus Torvalds, twórca systemu Linux, ze słusznym oburzeniem określił całą sytuację jako giełdowe porachunki, a nie pracę na rzecz bezpieczeństwa cyfrowego.