Gravi Vulnerabilità su Processori AMD

 

Proto: N050318.

 

Con la presente Yoroi desidera informarLa riguardo alla recente pubblicazione di gravi vulnerabilità all’interno delle famiglie di processori AMD EPYC e Ryzen, rispettivamente specializzate per applicazioni in ambienti Server/DC ed in prodotti Embedded/Mobile/PC.  La serie di problematiche è nota con l’alias “AMDFlaws”.

Le vulnerabilità identificate dai ricercatori sono 13 ed hanno caratteristiche d’impatto analoghe a Spectre e Meltdown (rif. EW N010118). Lo sfruttamento di queste criticità da parte di un attaccante può permettere l’accesso a dati sensibili, l’installazione di impianti malware avanzati ed il pieno controllo della macchina compromessa. Le tredici vulnerabilità sono ripartite in quattro famiglie, in dettaglio:

  • RYZENFALL: criticità all’interno di “AMD Secure OS” che possono permettere esecuzione di codice.
    • Le problematiche permettono di effettuare letture o scritture in aree protette (e.g. memoria riservata a Windows Credential Guard).
    • Un attaccante locale può usare RYZENFALL per rubare credenziali di rete, propagare le attività di attacco e condurre ulteriori movimenti laterali.
    • L’utilizzo di RYZENFALL in congiunzione con MASTERKEY può inoltre permettere l’installazione di impianti malware.
  • FALLOUT: criticità nel componente boot loader all’interno del “Secure Processor” della famiglia EPYC che permette accesso ad aree privilegiate.
    • L’abuso delle funzionalità può permettere letture e/o scritture di aree di memoria privilegiate ed isolate.
    • Un attaccante locale può usare FALLOUT per rubare credenziali di rete, propagare le attività di attacco e condurre ulteriori movimenti laterali, oltre che iniettare malware all’interno di memoria privilegiata.
    • Un attaccante può usare FALLOUT per effettuare bypass di protezioni BIOS.
  • CHIMERA: backdoor all’interno dei chipset AMD sia firmware che hardware.
    • Le backdoor possono essere utilizzate per eseguire codice all’interno dei chipset AMD Ryzen, possono inoltre permettere accesso a canali quali CPU-USB, SATA, dispositivi PCI-E, rete, WiFi e Bluetooth. Un attaccante locale può sfruttare questa circostanza per intercettare dati sensibili.
    • Risulta possibile l’installazione di impianti malware chipset-based, invisibili ai sistemi di sicurezza sull’host.
  • MASTERKEY: vulnerabilità  per le quali è possibile effettuare bypass delle funzioni di “Hardware Validated Boot” ed ottenere esecuzione di codice.
    • Un attaccante locale può essere in grado di installare malware persistente ed invisibile alle soluzioni di sicurezza all’interno della macchina.
    • La criticità permette il bypass dei controlli di sicurezza imposti da “Secure Encrypted Virtualization” e “Firmware Trusted Platform Module”,  facilità inoltre il furto di credenziali tramite il bypass di Windows Credential Guard.
    • Sabotaggi e danneggiamenti fisici dell’hardware sono attuabili da attaccanti in grado di sfruttare la criticità, abilitando nuovi scenari di attacchi di tipologia “ransom/ransomware”.

Il seguente schema riporta la mappatura delle criticità sulle famiglie di processori AMD afflitte, per ulteriori dettagli tecnici si rimanda all’apposita documentazione rilasciata dai ricercatori.



Figura 1. Mappatura delle vulnerabilità AMDFlaws (Fonte:Amdflaws.com)


Il Vendor non ha al momento rilasciato aggiornamenti di sicurezza e non sono al momento noti sfruttamenti delle falle in attacchi informatici, tuttavia,  considerata la possibile esposizione alle criticità da parte di infrastrutture potenzialmente sensibili, Yoroi consiglia di mantenere monitorata la sezione “Existing Solutions” all’interno del portale amdflaws.com e di domandare informazioni al Vendor qualora le Vostre infrastrutture utilizzino le famiglie di processori afflitte.

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. 
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index