Aktualność
Adrian Kotowski, Wtorek, 13 marca 2018, 21:20

Raport wygląda podejrzanie. Izraelska firma CTS Labs, zajmująca się badaniem bezpieczeństwa, udostępniła informacje na temat trzynastu, jej zdaniem, krytycznych luk umożliwiających atak na platformy z procesorami AMD. Badacze mieli rozpoznać cztery różne klasy zagrożeń powiązane z konkretnymi seriami układów. Problem w tym, że udostępnione dane, a także sposób ich publikacji jest bardzo specyficzny.

Wynika to z faktu, że CTS Labs ujawniło informacje o odkrytych lukach na specjalnie przygotowanej w tym celu stronie o wiele mówiącej nazwie //amdflaws.com/. Poza tym podmiot udostępnił dwa materiały wideo dotyczące sprawy, które załączyliśmy poniżej. Filmy znalazły się na kanale firmy, który założono zaledwie trzy dni temu. Są to zresztą jedyne treści na nim dostępne, co jest dość nietypowe i raczej niespotykane. Jeszcze ciekawiej robi się, gdy oglądając wideo uświadomicie sobie, że zostało ono nagrane z użyciem green screena i stockowych zdjęć.

Do samego podmiotu jeszcze wrócimy, ale teraz przejdźmy do zagrożeń, które miało odkryć CTS Labs. Wyróżniono cztery główne typu o nazwach MASTERKEY, RYZENFALL, FALLOUT i CHIMERA. Każda z nich ma też kilka wersji, które możecie zobaczyć na poniższej grafice. Z niej dowiecie się też, jakich systemów problem ma dotyczyć.

CTS Labs

Jak widać, już same określenia luk wyglądają groźnie, a CTS Labs zapewnia, że także ich skutki mogą być fatalne dla użytkowników. Firma krótko opisała każdy ze znalezionych problemów i ujawniła, kiedy można je wykorzystać. Szczególnie ta druga kwestia jest niezwykle interesująca, bo patrząc na założenia, temat zagrożeń wydaje się być po prostu wybitnie rozdmuchany.

Lista zagrożeń z ich opisem i wymogiem wykonania ataku prezentuje się następująco:

RYZENFALL

  • Założenia: RYZENFALL pozwala na przejęcie kontroli nad AMD Secure Processor, dzięki czemu atakujący może uzyskać dostęp do zapisu i odczytu chronionego obszaru pamięci (SMRAM lub pamięci powiązanej z Windows Credential Guard).
  • Zagrożenie: atakujący może ominąć zabezpieczenie Windows Credential Guard, przejąć poświadczenia sieciowe, a w połączeniu z MASTERKEY zainstalować szkodliwe oprogramowanie w sieciach firmowych, za pomocą którego może szpiegować daną firmę.
  • Wymagania: fizyczny dostęp do urządzenia, posiadanie uprawnień administratora oraz korzystanie z podpisanych cyfrowo sterowników urządzenia.

FALLOUT

  • Założenie: FALLOUT umożliwia atakującemu odczyt i zapis z/do obszarów pamięci chronionej serwerów Epyc.
  • Zagrożenie: atakujący może wykorzystać lukę, by ominąć Windows Credential Guard i zdobyć poświadczenia sieciowe lub obejść zabezpieczenia przed flashowaniem biosu zaimplementowane w SMM.
  • Wymagania: fizyczny dostęp do urządzenia, posiadanie uprawnień administratora oraz korzystanie z podpisanych cyfrowo sterowników urządzenia.

CHIMERA

  • Założenie: pod nazwą CHIMERA ukryte mają być dwa backdoory (jeden w oprogramowaniu, drugi w sprzęcie), które pozwalają na „wstrzyknięcie” złośliwego kodu do chipsetu współpracującego z procesorami Ryzen.
  • Zagrożenie: ze względu na to, że chipset łączy CPU z wieloma urządzeniami USB, SATA, czy PCIe, możliwe ma być prowadzenie wyrafinowanych ataków, które są w zasadzie niewykrywalne. CTS Lab wskazuje m.in. na wykorzystanie mechanizmu Direct Memory Access do ataku na system operacyjny.
  • Wymagania: posiadanie uprawnień administratora oraz korzystanie z podpisanego cyfrowo sterownika.

MASTERKEY

  • Założenie: MASTERKEY to zestaw luk w firmware AMD Secure Processor, które pozwalają na ominięci jego zabezpieczenia i infiltrację.
  • Zagrożenie: atakujący może w niepostrzeżenie ”wstrzyknąć” złośliwe oprogramowanie odporne na próby jego usunięcia, które pozwala na manipulowanie opcjami bezpieczeństwa takimi jak Secure Encrypted Virtualization oraz Trusted Platform Module. CTS Lab twierdzi, że dzięki niemu możliwe jest też zdobycie poświadczeń sieciowych oraz uszkodzenie sprzętu.
  • Wymagania: zflashowanie biosu płyty głównej i wgranie specjalnie spreparowanego firmware, fizyczny dostęp do komputera, posiadanie uprawnień administratora.

Jak widzicie, na pierwszy rzut oka zagrożenia mogą wydawać się bardzo poważne. Problem w tym, że w rzeczywistości jest nieco inaczej, co ma związek z zaznaczonymi wymaganiami. Badacze bezpieczeństwa Arrigo Triulzi (niezależny ekspert) i Kevin Beaumont (pracownik Double Pulsar) nie pozostawiają na raporcie suchej nitki.

Obaj wskazują na to, że każdy z ataków wymaga uprawnień administratora i wykonania konkretnego kodu, przez co możliwości ich wykorzystania są bardzo mocno ograniczone. Co więcej, CTS Labs nie ujawnił nigdzie dowodu słuszności zaprezentowanych koncepcji, ani szczegółów technicznych. Kontrowersje budzą też inne rzeczy, jak choćby czas publikacji informacji o zagrożeniach. Przyjęło się, że badacze najpierw informują producenta sprzętu, którego produkty są podatne na dany atak, a następnie po 90 dniach udostępniają wszystkie wiadomości na temat swojego odkrycia w sieci. Tutaj ten czas nie został zachowany, bo CTS Lab opublikowało swoje materiały zaledwie dzień po zgłoszeniu się do AMD. Żeby było ciekawiej, w opublikowanym raporcie (whitepaper) znalazła się sugestia dotycząca odradzania zakupu produktów bazujących na architekturze Zen, co też nie jest raczej często spotykaną informacją w podobnych materiałach traktujących o bezpieczeństwie. CTS Labs przyznaje ponadto, że nie było w stanie sprawdzić wszystkich ataków, które samo opisało, a także nie wie, ile czasu może zająć stworzenie odpowiednich łatek.

Z samym CTS Labs jest też inny problem. Firma miała zostać założona w Tel Awiwie w 2017 roku, choć na stronie przedsiębiorstwa w serwisie LinkedIn mowa o 16-letnim doświadczeniu w tworzeniu ekspertyz cyberbezpieczeństwa i kryptografii. Warto też spojrzeć na profil Ido Li On, prezesa podmiotu. W swoim opisie wspomniał o tym, że był założycielem NorthBit, przejętego następnie przez Magic Leap. Problem w tym, że przedsiębiorstwo to założyli Ariel Shiftan i Gil Dabah, a dodatkowo nie zgadza się też data – według Ido firma powstała w 2011 roku, podczas gdy wszystkie pozostałe źródła podają rok 2012. Co więcej, do czasu opublikowania opisywanego raportu CTS Lab był właściwie nieznany na świecie. Przyznało to samo AMD w swoim oświadczeniu opublikowanym na oficjalnej stronie przedsiębiorstwa:

Właśnie otrzymaliśmy raport od firmy o nazwie CTS Labs, która twierdzi, że istnieją potencjalne luki w zabezpieczeniach powiązane z niektórymi naszymi procesorami. Aktywnie badamy i analizujemy jej ustalenia. Przedsiębiorstwo to nie była wcześniej znane AMD i wydaje się niezwykłe, że podmiot badający bezpieczeństwo publikuje swoje badania w prasie, nie dając rozsądnej ilości czasu, aby producent mógł zbadać i odnieść się do ujawnionych ustaleń. W firmie AMD bezpieczeństwo jest najwyższym priorytetem i nieustannie pracujemy nad ulepszeniem jego poziomu dla naszych użytkowników, w związku z pojawianiem się potencjalnych nowych zagrożeń. Będziemy aktualizować ten blog w miarę rozwoju sytuacji.

Cała sytuacja z raportem wydaje się być bardzo podejrzana jeszcze przez jedną rzecz. Wnioski płynące z raportu CTS Labs potwierdziła firma Viceroy Research. Nie byłoby w tym nic zaskakującego, gdyby nie fakt, że przedsiębiorstwo udostępniło 25-stronicowy dokument zaledwie godzinę po ujawnieniu raportu na temat luk w procesorach AMD. Jest więc bardzo mało prawdopodobne, by oba podmioty ze sobą w tej sprawie nie współpracowały.

Ocena aktualności:
Ocen: 16
Zaloguj się, by móc oceniać
przemek01 (2018.03.13, 21:29)
Ocena: 41

0%
dziwne to jakies
Mavitis (2018.03.13, 21:32)
Ocena: 80

0%
'Wymagania: zflashowanie biosu płyty głównej i wgranie specjalnie spreparowanego firmware, fizyczny dostęp do komputera, posiadanie uprawnień administratora.'

To nawet cieżko nazwać luką... wymaganie sflashowania biosu, serio... ogólnie żart lekki
p_lider (2018.03.13, 21:34)
Ocena: 41

0%
Tak się zastanawiam - nie ma na takie działanie jakiegoś paragrafu? Najlepszy i tak jest disclaimer:
'The report and all statements contained herein are opinions of CTS and are not statements of fact. [....] you are advised that we may have, either directly or indirectly, an economic interest in the performance of the securities of the companies whose products are the subject of our reports. Any other organizations named in this website have not confirmed the accuracy or determined the adequacy of its contents.'
Czyli w skrócie: w raporcie prezentujemy tylko naszą opinię, a nie fakty a dodatkowo mamy interes ekonomiczny w zabezpieczeniach (akcjach, itp.) firm, których produkty opisujemy... WTF?
Edytowane przez autora (2018.03.13, 21:45)
Orzel94 (2018.03.13, 21:39)
Ocena: 33

0%
Mavitis @ 2018.03.13 21:32  Post: 1131918
'Wymagania: zflashowanie biosu płyty głównej i wgranie specjalnie spreparowanego firmware, fizyczny dostęp do komputera, posiadanie uprawnień administratora.'

To nawet cieżko nazwać luką... wymaganie sflashowania biosu, serio... ogólnie żart lekki

to tak jakby dostanie się po kilku miesiącach pracy do zawartości skonfiskowanego przez FBI/NSA iphonea nazwać 'luką'
Amitoza (2018.03.13, 21:42)
Ocena: 67

0%
fizyczny dostęp do urządzenia, posiadanie uprawnień administratora oraz korzystanie z podpisanych cyfrowo sterowników urządzenia.

zflashowanie biosu płyty głównej i wgranie specjalnie spreparowanego firmware, fizyczny dostęp do komputera, posiadanie uprawnień administratora.

:E

Przecież na intelu mając takie możliwości, tez można praktycznie wszystko zrobić :E
TomiliJons (2018.03.13, 21:43)
Ocena: 11

0%
To już nie wojna który procesor wydajniejszy, tylko który ma więcej/mniej dziur.
tomcug (2018.03.13, 21:45)
Ocena: 54

0%
Z raportu Viceroy:

Legal and regulatory – Given the endemic nature of the Masterkey, Ryzenfall, Fallout and Chimera vulnerabilities and the limited ability of patches to remedy them, Viceroy believes an involuntary product recall is imminent. AMD will likely face costly and lengthy legal action such as that currently levelled at Intel over the Meltdown/Spectre fiasco. Coupled with financial implications, we believe AMD would prudently file for Chapter 11 (Bankruptcy) in order to manage this issue.

Sprawa jest zdrowo podejrzana i być może chodzi o coś więcej niż zwykła manipulacja kursem akcji.
p_lider (2018.03.13, 21:45)
Ocena: 4

0%
buggeer @ 2018.03.13 21:39  Post: 1131922
p_lider @ 2018.03.13 21:34  Post: 1131920

Czyli w skrócie: w raporcie prezentujemy tylko naszą opinię, a nie fakty a dodatkowo mamy interes ekonomiczny w zabezpieczeniach firm, których produkty opisujemy... WTF?

Securities w tym kontekście to ładniejsze określenie akcji i tego typu papierów wartościowych.

Prawda - już poprawiłem.
Zaloguj się, by móc komentować
Aktualności
Nasz wielki konkurs organizowany wspólnie z firmą ASUS dobiegł końca. 13
Pokaz już za kilkanaście minut. Electronic Arts zaprasza na dzisiejszą prezentację gry Battlefield V. 4
Konkurencja dla Spotify. Google oficjalnie uruchomiło zapowiedzianą niedawno usługę YouTube Music. 1
Wirtualny pomocnik firmy powinien pojawić się u nas przed końcem tego roku. 2
Nowy model Chińczyków może być naprawdę rewolucyjny. 9
Dobra wiadomość dla fanów handheldów. Nintendo wprowadza do sprzedaży tańszy zestaw z konsolą Switch. 1
W końcu. Najnowsze informacje wskazuję, że Sunset Overdrive zmierza na komputery osobiste. 5
Nowoczesny chip dla nieco tańszych smartfonów. 11
Nowy układ dla nowych Ryzenów. 19
Nasz wielki konkurs organizowany wspólnie z firmą ASUS dobiegł końca. 13
Konkurencja dla platform Spotify i Apple Music. Google uruchomi nowy serwis muzyczny. 10
Nowy układ dla nowych Ryzenów. 19
Kultowa produkcja dostępna dla wszystkich chętnych. 37
Sprzęt dla najwydajniejszych kart graficznych. 15
Facebook
Ostatnio komentowane