Aggiornamenti recenti Aprile 23rd, 2024 9:15 AM
Mar 14, 2018 Marco Schiaffino In evidenza, News, RSS, Tecnologia, Vulnerabilità 1
Mentre il caso Spectre arranca verso possibili soluzioni tra passi avanti e clamorose retromarce, arriva un nuovo allarme che riguarda, questa volta, i processori AMD.
Il caso è stato aperto da CTS Labs, una società di sicurezza israeliana che ha pubblicato un report nel quale i suoi ricercatori illustrano (con un certo sensazionalismo) 13 bug che riguarderebbero i processori EPYC, Ryzen, Ryzen Pro, e Ryzen Mobile dell’azienda di Sunnyvale.
Una comunicazione che ha spiazzato completamente AMD, visto che dalle parti di CTS Labs hanno pensato bene di rendere pubblica la notizia solo 24 ore dopo avere dato comunicazione all’azienda produttrice di CPU, che per il momento si è limitata a dichiarare “Stiamo indagando su questo report, che abbiamo appena ricevuto, per capire la metodologia e il merito delle scoperte”.
Un comportamento che ha fatto storcere il naso a molti esperti di sicurezza, visto che anche i più rigorosi ricercatori (per esempio i famigerati cacciatori di bug del Project Zero di Google) concedono ai produttori almeno 90 giorni di “vantaggio” per sviluppare le patch che permettono di correggere le vulnerabilità che hanno scoperto.
In questo caso, invece, l’annuncio è arrivato quasi contestualmente alla comunicazione, sollevando il dubbio che CTS Labs abbia ceduto alla tentazione di massimizzare il livello di speculazione mediatica della scoperta e, in buona sostanza, cercare di farsi la massima pubblicità.
Ma di cosa stiamo parlando esattamente? Come si legge in un sito dedicato (https://amdflaws.com) CTS Labs avrebbe individuato 4 macro-vulnerabilità, ognuna delle quali ha delle varianti. Tutte, in qualche modo, prendono di mira il Secure Processor delle CPU (basato su un chip ARM Cortex M5 – ndr) e al chipset Promontory usato dai sistemi AMD.
La prima si chiama Masterkey e ha tre varianti. Secondo CTS Labs consentirebbe di eseguire codice all’interno del Secure Processor della CPU, consentendo in pratica di installare un malware in un’area in cui sarebbe difficilissimo individuarlo.
Non solo: Masterkey consentirebbe di disattivare funzioni di sicurezza come Firmware Trusted Platform Module (FTPM) e Secure Encrypted Virtualization (SEV) aprendo la strada ad altri attacchi, nonché di sottrarre credenziali riservate aggirando la protezione di Windows Credential Guard.
Sfruttare la vulnerabilità, però, non sarebbe facilissimo. Servirebbe infatti eseguire un flash del BIOS. La tecnica di attacco, inoltre, sarebbe stata testata con successo solo sui processori Ryzen ed EPYC, mentre la vulnerabilità delle CPU Ryzen Pro e Ryzen Mobile sarebbe solo “teorica”.
A prendere di mira il chipset Promontory è invece Chimera, una vulnerabilità che secondo i ricercatori consentirebbe di sfruttare alcune backdoor inserite dallo sviluppatore originale e che AMD non ha rimosso. La falla permetterebbe di avviare l’esecuzione di codice attraverso un dispositivo collegato al computer come dischi esterni o chiavi USB, ma anche tramite Bluetooth o Wi-Fi.
Anche in questo caso il rischio riguarda l’installazione di un malware a un livello (quello del chipset) che ne renderebbe virtualmente impossibile l’individuazione. Da qui, inoltre, il codice malevolo potrebbe “aggredire” il sistema operativo sfruttando il motore Direct Memory Access (DMA).
In questo caso si tratterebbe dunque di una vulnerabilità che, per essere sfruttata, richiederebbe l’accesso fisico alla macchina o comunque all’ambiente in cui si trova, arrivando a portata di Wi-Fi.
La terza “famiglia” di vulnerabilità è Ryzenfall e prende di mira AMD Secure OS, il sistema operativo del Secure Processor. Secondo CTS Labs, l’attacco consentirebbe di accedere alla memoria protetta e di modificarla in modo da prendere il controllo del Secure Processor.
Per portare a termine l’attacco, però, sarebbero necessari elevati privilegi di amministrazione che, in pratica, possono essere ottenuti solo se la macchina è già stata compromessa.
L’ultima falla di sicurezza riguarda i soli processori EPYC ed è stata battezzata con il nome di Fallout. Si tratta di una falla di sicurezza simile a Ryzenfall, che prende di mira il Boot Loader del Secure Processor.
Il risultato sarebbe lo stesso, cioè la possibilità di accedere ad aree protette della memoria e di modificarne il contenuto.
In definitiva, tutta la vicenda è ancora da verificare. Le vulnerabilità descritte da CTS Labs hanno caratteristiche (richiesta di privilegi di amministratore, accesso fisico alla macchina, utilizzo di BIOS e driver realizzati ad hoc) tali per cui si può pensare che possano essere sfruttati da pirati informatici molto competenti, che hanno a disposizione mezzi economici e logistici piuttosto particolari.
La stessa natura delle vulnerabilità porta a pensare a un loro utilizzo rivolto più che altro a ottenere un’eccezionale persistenza e a evitare il rilevamento da parte dei software di sicurezza per lunghi periodi di tempo.
Insomma: di primo acchito i più interessati a questo tipo di attacchi sarebbero i vari gruppi collegati a servizi segreti ed enti governativi come Fancy Bear, Lazarus ed Equation Group.
Il fatto che manchi anche una conferma da parte del produttore, ancora impegnato nella verifica delle informazioni rese pubbliche da CTS Labs, aumenta il grado di incertezza. Ne sapremo sicuramente di più in futuro.
Dic 07, 2023 0
Ago 23, 2023 0
Mag 08, 2023 0
Lug 15, 2022 0
Apr 23, 2024 0
Apr 22, 2024 0
Apr 22, 2024 0
Apr 22, 2024 0
Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Apr 12, 2024 0
Al Google Next ’24 abbiamo assistito a un interessante...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...Apr 22, 2024 0
Nel periodo compreso tra il 13 e il 19 aprile,...Apr 22, 2024 0
I cyber attacchi moderni riescono a colpire anche le...Apr 22, 2024 0
Il JPCERT Coordination Center, l’organizzazione...Apr 22, 2024 0
Akira ha colpito più di 250 organizzazioni in tutto il...
One thought on “Dopo Intel, tocca ad AMD. Allarme per nuovi attacchi alle CPU”