Эксплойт EntrySign позволяет злоумышленникам с правами системного администратора обновлять микрокод чипов AMD.
Введение
Сотрудники отдела кибербезопасности компании Google обнаружили эксплой EntrySign в микрокоде процессоров AMD. Как заявляют специалисты, под угрозой находятся все процессоры на архитектуре Zen потребительского и корпоративного уровня — от первого поколения Zen 1 до новейшего поколения Zen 5.
Подробнее об уязвимости EntrySign
EntrySign, который требует от пользователя наличие прав уровня ядра, открывает злоумышленникам доступ к внесению обновления микрокода без проверки цифровой подписи, тем самым запуская произвольные команды внутри CPU. Появление эксплойта связано с неправильным запуском проверки подписи. Дело в том, что новые чипы на архитектуре Zen поставляются с предзаписанным в ПЗУ микрокодом, который невозможно как-либо изменить. Тем не менее, производители процессоров могут единожды обновить код при загрузке ОС либо BIOS/UEFI в целях обнаружения и исправления ошибок и уязвимостей. Как только производитель внес изменения, доступ к микрокоду будет открыт в течение следующей сессии и закроется после перезагрузки системы. Эксплойт EntrySign использует слабость в хешировании, которое AMD задействуют для внесения правок в микрокод, тем самым обходя проверку цифровой подписи и получая доступ к коду процессора, запуская вредоносные команды. Если эксплойт задействовать в серверных системах, злоумышленники могут получить доступ к данным виртуальных рабочих столов минуя шифрование SEV и SEV-SNP.
Среди наиболее современных чипов на архитектуре Zen 5, подверженных риску, можно выделить Ryzen 9000, EPYC 9005, Ryzen AI 300 и Ryzen 9000HX. Google совместно с AMD уже разработали патч AGESA ComboAM5PI 1.2.0.3c для обновления BIOS, которые устраняет эксплойт, но он работает только для десктопных материнских плат. Патч, который устранит ту же уязвимость на серверных CPU EPYC Turin, будет выпущен до конца апреля 2025 года.
Выводы
Несмотря на весьма серьезную потенциальную угрозу, использование эксплойта невозможно, если злоумышленник не имеет привилегированных прав на уровне ядра. Кроме того, все изменения микрокода обнуляются после перезапуска системы, поэтому риск перехвата контроля над системой весьма невелик. Это подтверждается тем, что компания Google рассказала о проблеме до того, как выпустила исправление для серверных процессоров EPYC Turin. Стоит отдать должное отделу безопасности Google, которые не в первый раз находят скрытые уязвимости в чипах компаний AMD, Intel и других передовых разработчиков CPU, помогая в кратчайшие сроки исправить проблему и обезопасить пользователей.
Сотрудники отдела кибербезопасности компании Google обнаружили эксплой EntrySign в микрокоде процессоров AMD. Как заявляют специалисты, под угрозой находятся все процессоры на архитектуре Zen потребительского и корпоративного уровня — от первого поколения Zen 1 до новейшего поколения Zen 5.
Подробнее об уязвимости EntrySign
EntrySign, который требует от пользователя наличие прав уровня ядра, открывает злоумышленникам доступ к внесению обновления микрокода без проверки цифровой подписи, тем самым запуская произвольные команды внутри CPU. Появление эксплойта связано с неправильным запуском проверки подписи. Дело в том, что новые чипы на архитектуре Zen поставляются с предзаписанным в ПЗУ микрокодом, который невозможно как-либо изменить. Тем не менее, производители процессоров могут единожды обновить код при загрузке ОС либо BIOS/UEFI в целях обнаружения и исправления ошибок и уязвимостей. Как только производитель внес изменения, доступ к микрокоду будет открыт в течение следующей сессии и закроется после перезагрузки системы. Эксплойт EntrySign использует слабость в хешировании, которое AMD задействуют для внесения правок в микрокод, тем самым обходя проверку цифровой подписи и получая доступ к коду процессора, запуская вредоносные команды. Если эксплойт задействовать в серверных системах, злоумышленники могут получить доступ к данным виртуальных рабочих столов минуя шифрование SEV и SEV-SNP.
Среди наиболее современных чипов на архитектуре Zen 5, подверженных риску, можно выделить Ryzen 9000, EPYC 9005, Ryzen AI 300 и Ryzen 9000HX. Google совместно с AMD уже разработали патч AGESA ComboAM5PI 1.2.0.3c для обновления BIOS, которые устраняет эксплойт, но он работает только для десктопных материнских плат. Патч, который устранит ту же уязвимость на серверных CPU EPYC Turin, будет выпущен до конца апреля 2025 года.
Выводы
Несмотря на весьма серьезную потенциальную угрозу, использование эксплойта невозможно, если злоумышленник не имеет привилегированных прав на уровне ядра. Кроме того, все изменения микрокода обнуляются после перезапуска системы, поэтому риск перехвата контроля над системой весьма невелик. Это подтверждается тем, что компания Google рассказала о проблеме до того, как выпустила исправление для серверных процессоров EPYC Turin. Стоит отдать должное отделу безопасности Google, которые не в первый раз находят скрытые уязвимости в чипах компаний AMD, Intel и других передовых разработчиков CPU, помогая в кратчайшие сроки исправить проблему и обезопасить пользователей.
А вы не подумали, что лучше было выпустить подробнейший гайд по УСТРАНЕНИЮ проблемы? Или мне после покупки процессора обрывать линию в попыхах, чтобы разобраться за что я отдал деньги?
Serverflow
Мы пока не сталкивались с какими-то проблемами, особенно учитывая, что каждый процессор который к нам поступает проходит всевозможные тестирования. Плюс у нас предусмотрена гибкая система гарантии, и при покупке у нас можете совершенно забыть о переживаниях:) Также, советую еще раз внимательно ознакомиться с материалом, ведь для того чтобы у Вас возникли перечисленные в нем проблемы, злоумышленнику нужно обладать очень большим перечнем характеристик, которые встречаются слишком уже редко, так что волноваться точно не о чем:)
Получите скидку 3 000 рублей или бесплатную доставку за подписку на новости*!
* — скидка предоставляется при покупке от 30 000 рублей, в ином случае предусмотрена бесплатная доставка.
Мы получили ваш отзыв!
Он появится на сайте после модерации.
Мы получили ваш отзыв!
Он появится на сайте после модерации.
Продолжная использовать наш сайт, вы даете согласие на использование файлов Cookie, пользовательских данных (IP-адрес, вид операционной системы, тип браузера, сведения о местоположении, источник, откуда пришел на сайт пользователь, с какого сайта или по какой рекламе, какие страницы
открывает и на какие страницы нажимает пользователь) в целях функционирования сайта, проведения статистических исследований и обзоров. Если вы не хотите, чтобы ваши данные обрабатывались, покиньте сайт.
