AMD heeft een officieel statement vrijgegeven over de publicaties van een Israëlisch beveiligingsbedrijf, dat eerder vandaag naar buiten kwam met 13 vermeende 'kritieke beveiligingslekken' in AMD Ryzen en Epyc processors. AMD zegt de bevindingen op dit moment te analyseren en noemt het ongebruikelijk dat het niet ver van tevoren op de hoogte werd gesteld. Het volledige statement luidt:
We have just received a report from a company called CTS Labs claiming there are potential security vulnerabilities related to certain of our processors. We are actively investigating and analyzing its findings. This company was previously unknown to AMD and we find it unusual for a security firm to publish its research to the press without providing a reasonable amount of time for the company to investigate and address its findings. At AMD, security is a top priority and we are continually working to ensure the safety of our users as potential new risks arise. We will update this blog as news develops. - AMD
Dit gebeurde er vanmiddag
Volgens het persbericht van CTS-labs, een beveiligingsbedrijf dat vorig jaar is opgericht, kunnen aanvallers toegang krijgen tot gevoelige data vanuit het zogenaamde 'beveiligde deel' van de processors. In dat deel worden normaliter gevoelige data zoals wachtwoorden en encryptiesleutels bewaard. Het zou ook mogelijk zijn om malware te installeren op dat gedeelte van de processor.
De onderzoekers hebben AMD minder dan 24 uur gegeven om naar de 'kwetsbaarheden' te kijken en een reactie te geven voordat het onderzoek werd gepubliceerd. Dat is ongebruikelijk voor een beveiligingsbedrijf (normaal is een minimum van 90 dagen) en diverse quotes van de website van het bedrijf lijken te wijzen op financiële belangen bij deze publicatie. Echter, dat de manier waarop deze lekken naar buiten worden gebracht niet correct is, betekent niet per definitie dat de 'beveiligingslekken' geen reëel gevaar vormen. Hardware.Info staat in nauw contact met AMD en het wachten is op meer informatie.
Beveiligingsbedrijf in twijfel getrokken - maar bestaan de bugs echt?
In de tussentijd blijven er opvallende feiten over het beveiligingsbedrijf opduiken, die lijken te duiden op een hoax. CTS-labs is een onbekend bedrijf dat minder dan een jaar oud is en geen track record heeft met betrekking tot het publiceren van beveiligingslekken, al is het naar eigen zeggen wel opgericht door mensen met ervaring.
Een gerenommeerde beveiligingsexpert meldt echter op Twitter de technische documentatie van de bugs te hebben ingezien voorafgaand aan de publicatie, die hij beschrijft als 'ver bovengemiddeld voor beveiligingsbedrijven'. Hij noemt de lekken veel minder substantieel dan bijvoorbeeld Spectre en Meltdown, onder meer omdat de ze adminrechten vereisen om te functioneren ('second stage'), maar desondanks 'real, accurately described (...), and their exploit code works'. Het technische rapport waarnaar wordt gerefereerd is niet openbaar.
Technische details vermeende 'exploits'
Master Key
Wanneer een apparaat opstart gaat het meestal door een 'Secure Boot'. Er wordt gebruik gemaakt van de cpu om te checken of er niet geknoeid is met de pc en om alleen maar betrouwbare programma's op te starten. De Master Key-kwetsbaarheid gaat hier omheen door malware op de bios te installeren. Eenmaal geïnfecteerd, kan Master Key gebruikt worden om malware op de secure processor te installeren, wat betekent dat er volledige controle is over welke programma's er mogen worden opgestart tijdens het opstartproces. Van daaruit zouden beveiligingsfeatures uitgeschakeld kunnen worden.
Ryzenfall
Deze kwetsbaarheid richt zich specifiek op Ryzen-processors en laat toe dat malware de secure processor helemaal kan overnemen. Hierdoor ontstaat toegang tot beveiligde data, inclusief encryptiesleutels en wachtwoorden; gedeeltes waar normaliter een aanvaller geen toegang tot zou moeten hebben, aldus de onderzoekers. Wanneer de aanvaller langs de Windows Defender Credential Guard (een plek waar Windows 10 Enterprise gevoelige data opslaat waar je normaal gesproken niet bij kan) kan komen, zou het betekenen dat ze met behulp van de gestolen data op andere computers in het netwerk kunnen komen.
Fallout
Fallout werkt hetzelfde als Ryzenfall, maar werkt alleen op Epyc-processors. Microsoft kondigde in december een samenwerking aan met AMD voor zijn Azure Cloud servers, waarin gebruik wordt gemaakt van een AMD Epyc-processor. Wanneer kwaadwillenden gebruik maken van het beveiligingslek zouden ze alle verificatiegegevens kunnen stelen die verspreid zijn opgeslagen over het netwerk. De gegevens zijn opgeslagen in een 'gesegregeerde virtuele machine' (delen van het geheugen afgescheiden van de rest van de computer), aldus een vertegenwoordiger van CTS-labs. Wanneer gebruik wordt gemaakt van Fallout, wordt de verbinding tussen de gesegregeerde virtuele machines verbroken. Windows Credential Guard wordt opgeslagen in dat deel van het geheugen, waardoor het beschermd is wanneer de rest van de computer geïnfecteerd zou raken met malware.
Chimera
Chimera komt van twee verschillende kwetsbaarheden; een in de firmware en een vanuit de hardware. De Ryzen-chipset (Promontory; uitbesteed door AMD aan ASMedia) heeft beveiligingslekken waardoor er malware op kan worden gedraaid. Omdat wifi-, netwerk- en bluetooth-verkeer door de chipset loopt, kan een kwaadwillende daar gebruik van maken om het apparaat te infecteren, volgens de onderzoekers. Tijdens een proof of concept-demonstratie was het volgens de onderzoekers mogelijk een keylogger te installeren door gebruik te maken van het verkeer door de chipset. Hierdoor zou alles uitgelezen kunnen worden wet er getypt wordt op de geïnfecteerde computer. De kwetsbaarheid in de firmware houdt in dat er malware geïnstalleerd kan worden op de processor zelf.
Dit bericht is bijgewerkt naar aanleiding van nieuwe informatie, voor het laatst om 21:54.
