Luka CVE-2024-56161 zagrożeniem dla SEV-SNP
W poniedziałek AMD oficjalnie ogłosiło wdrożenie poprawek do poważnej luki bezpieczeństwa w swoich mikroprocesorach, której oznaczenie CVE-2024-56161 otrzymało wynik CVSS równy 7,2. Błąd polegał na niewłaściwej weryfikacji podpisu w mechanizmie ładowania mikrokodu, umożliwiając lokalnemu administratorowi załadowanie zmodyfikowanego kodu. Jak wyjaśnia AMD: „może umożliwić atakującemu z uprawnieniami administratora lokalnego załadowanie złośliwego mikrokodu procesora, co może skutkować utratą poufności i integralności poufnego gościa działającego w ramach AMD SEV-SNP”.
Mikrokod procesora, ładowany zazwyczaj podczas startu systemu, jest kluczowym elementem jego funkcjonowania. Wykorzystanie luki mogłoby więc potencjalnie doprowadzić do poważnych naruszeń bezpieczeństwa, w tym uzyskania dostępu do wrażliwych danych czy manipulacji funkcjonowaniem procesora.
W odpowiedzi na wykryte zagrożenie AMD wdrożyło poprawki mające na celu zablokowanie możliwości ładowania nieautoryzowanego mikrokodu. Firma ostrzegła również, że skuteczne zabezpieczenie wymaga aktualizacji oprogramowania układowego SEV na niektórych platformach. W oficjalnym komunikacie producent wskazuje: „Aktualizacja obrazu BIOS-u systemu i ponowne uruchomienie platformy umożliwi poświadczenie łagodzenia. Poufny gość może zweryfikować, czy łagodzenie zostało włączone na platformie docelowej za pomocą raportu poświadczenia SEV-SNP”.
Producent dostarczył aktualizacje AGESA (AMD Generic Encapsulated Software Architecture) partnerom OEM, a użytkownicy końcowi powinni otrzymać stosowne aktualizacje BIOS-u od swoich dostawców sprzętu.
Odkrycie luki stało się szerzej znane w zeszłym tygodniu, gdy Asus nieumyślnie ujawnił istnienie poprawki w opisie wydania beta aktualizacji BIOS-u dla swoich płyt głównych, sugerując problem z weryfikacją podpisu mikrokodu.
Badania Google i ataki side-channel
Zespół Google, który wykrył problem, zauważył, że luka może zostać wykorzystana do załadowania złośliwych poprawek mikrokodu przez atakującego z uprawnieniami roota spoza maszyny wirtualnej. Jak twierdzą badacze: „Luka polega na tym, że procesor używa niebezpiecznej funkcji skrótu w walidacji podpisu dla aktualizacji mikrokodu. Ta luka może zostać wykorzystana przez przeciwnika do naruszenia poufnych obciążeń obliczeniowych chronionych przez najnowszą wersję AMD Secure Encrypted Virtualization, SEV-SNP lub do naruszenia Dynamic Root of Trust Measurement”.
Google zgłosiło problem AMD we wrześniu, a firma dostarczyła poprawki partnerom OEM w grudniu, czyli na około 45 dni przed jego publicznym ujawnieniem. Dodatkowe szczegóły techniczne mają zostać przedstawione przez badaczy Google na początku marca.
Dodatkowo AMD potwierdziło, że otrzymało raport od naukowców z Narodowego Uniwersytetu Tajwańskiego dotyczący potencjalnych ataków side-channel na system SEV z wykorzystaniem mechanizmów pamięci podręcznej. W odpowiedzi zaleca twórcom oprogramowania stosowanie najlepszych praktyk zabezpieczeń i przestrzeganie wytycznych dotyczących ataków typu Spectre, aby zminimalizować ryzyko.
Użytkownicy procesorów AMD, szczególnie ci korzystający z technologii SEV-SNP, powinni jak najszybciej zainstalować dostępne aktualizacje BIOS-u, aby zapewnić ochronę przed potencjalnym wykorzystaniem tej luki.
