Disa javë më parë ne ndamë këtu në blog lajmet e Dobësia e EntrySign i cili lejon shmangien e mekanizmit të verifikimit të nënshkrimit dixhital gjatë përditësimeve të mikrokodit në procesorët AMD.
Çfarë Fillimisht dukej si një gabim i kufizuar në brezat Zen 1 deri në Zen 4, Tani shtrihet në çipa aq aktualë sa Ryzen 9000, EPYC 9005, Ryzen AI 300 dhe Ryzen 9000HX. Ky defekt lejon, në kushte të caktuara, modifikimin e mikrokodit të CPU-së duke anashkaluar mekanizmin e verifikimit të nënshkrimit dixhital, me implikime serioze për sigurinë e sistemeve të virtualizuara.
Rrënja e problemit është në përdorimi i papërshtatshëm i algoritmit CMAC gjatë procesit të vërtetimit të mikrokodit. AMD tradicionalisht përdor një çelës privat RSA për të nënshkruar në mënyrë dixhitale përmbajtjen e këtyre përditësimeve, dhe një çelës publik i përfshirë në patch për të verifikuar vërtetësinë e mikrokodit në momentin e ngarkimit. Megjithatë, hash-i i çelësit publik që duhet të garantojë këtë integritet gjenerohet duke përdorur AES-CMAC, një MAC kriptografik që, ndryshe nga një funksion hash i fuqishëm, nuk ofron garanci kundër përplasjeve.
Ky dizajn, shtoi faktin se AMD ka përdorur një çelës të përbashkët enkriptimi për të gjithë CPU-të tuaja që nga Zen 1, i ka lejuar studiuesit të nxjerrin çelësin nga çdo procesor i prekur dhe ripërdoreni atë për të manipuluar arnimet e mikrokodit në kompjuterë të tjerë. Çuditërisht, ky çelës përputhet me një shembull publik të praktikave të kriptimit NIST SP 800-38B, duke demonstruar përdorim të pakujdesshëm të praktikave të mira kriptografike.
Mikrokod i rremë, nënshkrime të vlefshme
Nga kjo dobësi, Studiuesit arritën të gjenerojnë çelësa publikë që prodhojnë të njëjtin hash si çelësi origjinal i AMD., të cilat ata lejoi ndërtimin e arnimeve të rreme të afta për të anashkaluar kontrollet e integritetit. Këto përplasje arrihen duke futur blloqe shtesë në fund të mikrokodit, në dukje të rastësishme, por të llogaritura me kujdes, duke lejuar që nënshkrimi dixhital të mbetet në dukje i paprekur. Në këtë mënyrë, sjellja e brendshme e procesorit mund të ndryshohet pa ndezur mekanizmat e alarmit.
Ky proces është lehtësuar nga mjetet e analizës të tilla si Zentool, një grup shërbimesh me burim të hapur që ju lejon të studioni mikrokodin e AMD dhe të përgatitni arna të modifikuara. Që ky lloj sulmi të materializohet, sulmuesi duhet të ketë privilegje Ring 0, domethënë akses në nivelin më të lartë të sistemit operativ, i cili është i realizueshëm në mjediset e virtualizuara nëse hipervizori është i komprometuar ose përmes konfigurimeve të pasigurta të teknologjive si VT-x ose AMD-V.
Ndikimi në AMD SEV dhe Virtualizimi i Sigurt
Përtej manipulimit të mikrokodit, EntrySign përbën një kërcënim të drejtpërdrejtë për AMD SEV (Secure Encrypted Virtualization) dhe zgjerimin e tij SEV-SNP (Secure Nested Paging), teknologji të dizajnuara për të siguruar integritetin dhe konfidencialitetin e makinave virtuale edhe përballë sulmeve nga hipervizori ose sistemi pritës. Kjo dobësi bën të mundur ndërhyrjen në regjistrat e mbrojtur të procesorëve, modifikimin e tabelave të faqeve të ndërlidhura dhe ndryshimin e sjelljes së sistemeve të ftuar, duke rrezikuar sigurinë e tyre në një nivel të thellë.
Përgjigja dhe Masat Zbutëse të AMD
Përballë kësaj situate, AMD ka filluar të shpërndajë përditësime të mikrokodit që rregullojnë defektin.ose, megjithëse në sistemet që përdorin SEV-SNP, është gjithashtu e nevojshme të përditësohet firmware-i i modulit SEV, i cili kërkon një përditësim të BIOS-it. Kompania tashmë ka dërguar një paketë të re për prodhuesit i quajtur ComboAM5PI 1.2.0.3c AGESA, por vlerësohet se arnimet përfundimtare mund të duhen javë apo edhe muaj që të jenë të disponueshme për përdoruesit përfundimtarë.
Përveç kësaj, Inxhinierët e AMD kanë propozuar një patch për kernelin Linux që bllokon ngarkimin e mikrokodit. jozyrtare. Kjo masë synon të parandalojë përhapjen e arnimeve të modifikuara nga palët e treta, të tilla si ato të krijuara nga entuziastët nga fragmentet e nxjerra të BIOS-it. Ndërkohë, rekomandohet fuqimisht të prisni përditësimet zyrtare të BIOS-it dhe të përmbaheni nga instalimi i versioneve të paverifikuara.
Së fundi, nëse jeni të interesuar të dini më shumë për të, ju mund të kontrolloni detajet në lidhja vijuese.