AMD випустила два виправлення для серйозних недоліків безпеки мікрокоду, дефектів, які, за словами AMD, можуть призвести до втрати захисту Secure Encrypted Virtualization (SEV). Помилки були ненавмисно виявлені партнером минулого тижня, повідомляє NetworkWorld.
Найнебезпечніший час для такого роду дір у безпеці – відразу після їх розкриття та перед застосуванням патчів. Через характер виправлень мікрокоду корпоративним користувачам тепер доводиться чекати, поки виробники комплектного обладнання й інші партнери впровадять виправлення у свій апаратний мікрокод.
«Це накладає більший тягар на виробників апаратного забезпечення щодо розповсюдження і встановлення. Це може спричинити затримку впровадження й потенційно створити розрив. Швидкість упровадження може бути не такою, як ми б хотіли бачити», — сказав Джон Прайс, генеральний директор охоронної фірми SubRosa, що базується у Клівленді.
Інший фахівець із безпеки Флавіо Вілланустре, глобальний директор з інформаційної безпеки LexisNexis Risk Solutions, погодився із Прайсом щодо потенційних затримок у галузі. Але він підкреслив, що затримки, якщо такі будуть, будуть різними для кожного підприємства, залежно від того, хто є їхнім OEM-виробником і як швидко вони переходять на ці оновлення.
«Деякі OEM-виробники вже виправили цю проблему за останні кілька тижнів. Цілком ймовірно, що багато людей уже на шляху до того, щоб це виправити. Це може статись протягом наступних кількох днів, але якщо OEM не матиме ресурсів, це може тривати тижнями», — сказав Вілланустре.
Вілланустре загалом схвалив те, як AMD впоралася з цією ситуацією.
«Цей процес був добре організований», — сказав він.
Метт Кімбол, віцепрезидент і головний аналітик Moor Insights & Strategy, також сказав, що вважає, що AMD добре впоралася із цією ситуацією.
«Це сумна реальність, що ці вразливості знаходять свій шлях до систем, але це, тим не менш, реальність. Реальним показником постачальника є те, наскільки швидко він реагує та зводить нанівець ці вразливості. У випадку з AMD відповідь була швидкою та ретельною», — сказав Кімбол.
Важливо те, що адміністратори зосереджуються на UEFI (Unified Extensible Firmware Interface), який є інтерфейсом між ОС і мікропрограмою. Якщо UEFI, який раніше називався системним BIOS, не оновлювати, проблема з мікрокодом продовжуватиме повертатися щоразу, коли сервери перезавантажуватимуться. Цю проблему можна просто вирішити, оновивши UEFI.
«Ця ситуація підкреслює, наскільки глибоко проблеми з вбудованим програмним забезпеченням впровадилися в сучасні обчислення. У майбутньому це ускладнить екстрені виправлення. Майбутні виправлення мікрокоду вимагатимуть повного перезавантаження системи», — сказав Прайс.
AMD випустила два патчі для вирішення проблеми.
«AMD запропонувала засіб пом’якшення цієї проблеми, який потребує оновлення мікрокоду на всіх заражених платформах, щоб запобігти завантаженню зловмисником зловмисного мікрокоду. Окрім того, для деяких платформ потрібне оновлення мікропрограми SEV для підтримки атестації SEV-SNP. Оновлення образу BIOS системи та перезавантаження платформи дозволить підтвердити виправлення. Конфіденційний гість може перевірити, чи патч ввімкнено на цільовій платформі за допомогою звіту про атестацію SEV-SNP», — заявили в AMD.
AMD заявила, що ризик кібербезпеки через нерозгортання виправлення є значним, пояснюючи:
«Неправильна перевірка підпису в завантажувачі виправлень мікрокоду AMD CPU ROM може дозволити зловмиснику з правами локального адміністратора завантажити шкідливий мікрокод ЦП, що призведе до втрати конфіденційності та цілісності конфіденційної інформації. гостьовий режим під управлінням AMD SEV-SNP».
Компанія підкреслила, що мікрокод не можна завантажувати після оновлення до цієї версії PI [ініціалізації платформи]» і що «потрібний мінімум MilanPI_1.0.0.F, щоб дозволити гаряче завантаження майбутніх версій мікрокоду, вищих за ті, що вказані в PI. Помилка #GP виникне під час спроби гарячого завантаження мікрокоду у старіший BIOS.
AMD також випустила патч для атаки на боковий канал на основі кешу, яка також впливає на SEV. Ця проблема бічного каналу впливає на:
- процесори AMD EPYC 1-го покоління з попередньою кодовою назвою Naples,
- процесори AMD EPYC 2-го покоління з попередньою кодовою назвою Rome,
- процесори AMD EPYC 3-го покоління з попередньою кодовою назвою Milan,
- процесори AMD EPYC 4-го покоління з попередньою кодовою назвою Genoa,
- AMD EPYC Embedded 3000, AMD EPYC Embedded 7002, AMD EPYC Embedded 7003 і AMD EPYC Embedded 9004.
Читайте також на ProIT, що Intel об’єднується з AWS для спільного розроблення чипа ШІ.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
