AMD випустила два виправлення для серйозних недоліків безпеки мікрокоду — дефектів, які можуть призвести до втрати захисту Secure Encrypted Virtualization (SEV). Помилки були ненавмисно виявлені партнером минулого тижня, повідомляє NetworkWorld.
Найнебезпечніший час для такого роду дір у безпеці – відразу після їх розкриття та перед застосуванням патчів. Через характер виправлень мікрокоду корпоративним користувачам тепер доводиться чекати, поки виробники комплектного обладнання й інші партнери впровадять виправлення у свій апаратний мікрокод.
«Це накладає більший тягар на виробників апаратного забезпечення щодо розповсюдження і встановлення, що може спричинити затримку впровадження й потенційно створити розрив. Швидкість упровадження може бути не такою, як хотілося б», — сказав Джон Прайс, генеральний директор охоронної фірми SubRosa, що базується у Клівленді.
Інший фахівець із безпеки Флавіо Вілланустре, глобальний директор з інформаційної безпеки LexisNexis Risk Solutions, погодився із Прайсом щодо потенційних затримок у галузі. Але він наголосив, що затримки будуть різними для кожного підприємства, залежно від того, хто є їхнім OEM-виробником і як швидко вони переходять на ці оновлення.
«Деякі OEM-виробники вже виправили цю проблему за останні кілька тижнів. Цілком імовірно, що багато людей уже на шляху до того, щоб це виправити. Це може статися протягом наступних кількох днів, але якщо OEM не матиме ресурсів, то може тривати тижнями», — сказав експерт.
Вілланустре схвалив те, як AMD впоралася із цією ситуацією.
«Цей процес був добре організований», — сказав він.
Метт Кімбол, віцепрезидент і головний аналітик Moor Insights & Strategy, також вважає, що компанія впоралася.
«Це сумна реальність, що такі вразливості знаходять свій шлях до систем, але це, тим не менш, реальність. Реальним показником постачальника є те, наскільки швидко він реагує і зводить нанівець ці вразливості. У випадку з AMD відповідь була швидкою та ретельною», — сказав Кімбол.
Важливо те, що адміністратори зосереджуються на UEFI (Unified Extensible Firmware Interface), який є інтерфейсом між ОС і мікропрограмою. Якщо UEFI, який раніше називався системним BIOS, не оновлювати, проблема з мікрокодом повертатиметься щоразу, коли сервери перезавантажуватимуться. Цю проблему можна вирішити, оновивши UEFI.
«Ця ситуація демонструє, наскільки глибоко проблеми із вбудованим програмним забезпеченням впровадилися в сучасні обчислення. У майбутньому це ускладнить екстрені виправлення. Майбутні виправлення мікрокоду вимагатимуть повного перезавантаження системи», — сказав Прайс.
AMD випустила два патчі для вирішення проблеми.
«Компанія запропонувала засіб пом’якшення цієї проблеми, який потребує оновлення мікрокоду на всіх заражених платформах, щоб запобігти завантаженню зловмисником зловмисного мікрокоду. Крім того, для деяких платформ потрібне оновлення мікропрограми SEV для підтримки атестації SEV-SNP. Оновлення образу BIOS-системи та перезавантаження платформи дасть можливість підтвердити виправлення. Конфіденційний гість може перевірити, чи патч увімкнено на цільовій платформі за допомогою звіту про атестацію SEV-SNP», — заявили в AMD.
Фахівці зазначили, що ризик кібербезпеці через нерозгортання виправлення є значним:
«Неправильна перевірка підпису в завантажувачі виправлень мікрокоду AMD CPU ROM може дати змогу зловмиснику із правами локального адміністратора завантажити шкідливий мікрокод ЦП. Це призведе до втрати конфіденційності та цілісності конфіденційної інформації».
Компанія підкреслила, що мікрокод не можна завантажувати після оновлення до цієї версії PI [ініціалізації платформи] і що потрібний мінімум MilanPI_1.0.0.F, щоб дозволити гаряче завантаження майбутніх версій мікрокоду, вищих за ті, що вказані в PI. Помилка #GP виникне під час спроби гарячого завантаження мікрокоду у старіший BIOS.
AMD також випустила патч для атаки на боковий канал на основі кешу, яка впливає на SEV. Ця проблема бічного каналу впливає на:
- процесори AMD EPYC першого покоління з попередньою кодовою назвою Naples;
- процесори AMD EPYC другого покоління з попередньою кодовою назвою Rome;
- процесори AMD EPYC третього покоління з попередньою кодовою назвою Milan;
- процесори AMD EPYC четвертого покоління з попередньою кодовою назвою Genoa;
- AMD EPYC Embedded 3000, AMD EPYC Embedded 7002, AMD EPYC Embedded 7003 й AMD EPYC Embedded 9004.
Читайте також на ProIT, що Intel об’єднується з AWS для спільного розроблення чипа ШІ.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!