AMD подтвердила наличие уязвимости в своей проверке подписи для обновлений микрокода в процессорах Zen 1 — Zen 5. Эта уязвимость безопасности получила название «EntrySign» и позволяет злоумышленникам получить доступ на уровне ядра.
В прошлом месяце AMD подтвердила, что уязвимость затрагивает первые четыре поколения ее процессоров Zen, которые включают в себя все, от процессоров для настольных ПК до серверных чипов EPYC компании. Теперь AMD подтвердила, что ее последнее поколение Zen 5 также затронуто этой уязвимостью безопасности. Суть проблемы можно проследить до проверки подписи AMD для обновлений микрокода, которые являются критическими обновлениями, которые AMD выпускает для исправления любых ошибок, улучшения стабильности чипа, оптимизации производительности или предоставления исправлений безопасности для уязвимостей.
Типичный порядок процесса заключается в том, что операционная система или прошивка загружает микрокод, который AMD подписала как безопасный и надежный, прогоняя его через свой процесс проверки, но EntrySign — это уязвимость, которая позволяет злоумышленникам с доступом на уровне кольца 0 или ядра обходить меры безопасности. Что обнадеживает, так это то, что AMD уже выпустила исправление уязвимости для поставщиков материнских плат через обновление ComboAM5PI 1.2.0.3c AGESA.
Исследователи из Google предоставили AMD отчет под названием «Уязвимость проверки подписи микрокода AMD». Эта уязвимость может позволить злоумышленнику с правами системного администратора загрузить вредоносные исправления микрокода ЦП. В отчете исследователи описывают, как им удалось загрузить исправления, не подписанные AMD. Исследователи также демонстрируют, как они подделывали подписи для произвольных исправлений микрокода. AMD не получала никаких сообщений об этой атаке, произошедшей в какой-либо системе.
AMD считает, что эта проблема вызвана слабостью алгоритма проверки подписи, которая может позволить злоумышленнику с правами администратора загружать произвольные исправления микрокода. AMD планирует выпустить меры по смягчению последствий для устранения этой проблемы.
Хорошей новостью для обычных пользователей является то, что перезапуск системы сбрасывает любой вредоносный код, загруженный в систему с помощью этого метода. Кроме того, взлом с помощью этого метода также потребует высокоуровневых системных привилегий, то есть риск для обычных пользователей здесь относительно низок. Тем не менее, все равно рекомендуется выполнить обновление как можно скорее.
