AMD:n prosessoreista on löytynyt vakava haavoittuvuus. Ongelma koskee mahdollisesti jopa kaikkia yhtiön prosessoreita vuodesta 2006 lähtien.
Tietoturvayritys IOActiven tutkijat Enrique Nissim ja Krzysztof Okupski ovat löytäneet AMD:n prosessoreista vakavan Sinkcloseksi ristityn haavoittuvuuden. Haavoittuvuus on sikäli vakava, että sen avulla voitaisiin saada Ring 0 -tason pääsy SMM- eli System Management Mode -tilaan ja sen kautta asentaa jopa kiintolevyn formatoinnista ja käyttöjärjestelmän uudelleenasennuksesta selviäviä rootkit-tyyppisiä haittaohjelmia, eikä niitä voisi tiettävästi havaita ainakaan perinteisin antivirusohjelmistoin. Toisaalta haavoittuvuutta ei ole tiettävästi ikinä päästy hyödyntämään ja vaikka käyttäjällä olisi tietotaito sen hyödyntämiseen, vaatisi se hyökkääjältä ensin pääsyn käyttöjärjestelmän kerneliin jonkin toisen haavoittuvuuden avulla. AMD:n itse kerrotaan verranneen haavoittuvuutta murtautumiseen pankin tallelokeroihin – kunhan rosvo on ensin ohittanut kaikki muut hälyttimet, suojaukset ja päässyt sisään itse holviin.
Sinkclose koskee tutkijoiden mukaan kaikkia AMD:n prosessoreita vuodesta 2006 lähtien, mutta AMD:n tukisivuilla ei löydy mainintaa Ryzen tai Ryzen Threadripper 1000- ja 2000 -sarjojen prosessoreista. Toisaalta samaan arkkitehtuuriin perustuvat 1. sukupolven Epyc-prosessorit sekä Ryzen Embedded -puolen Zen- ja Zen+ -prosessorit on listauksessa mukana. Uusia Zen 5 -prosessoreita listauksesta ei löydy, joten niiden osalta bugi on oletettavasti jo korjattu ennen julkaisua.
AMD:n mukaan ongelma on jo korjattu BIOS-päivityksillä kaikilla kuluttaja-alustoille Ryzen 4000 -sarjasta lähtien. Korjaavat BIOS-päivitykset on julkaistu heinä-elokuun aikana. Ryzen 3000 -sarja on yhtiön mukaan ja ohjelmistotuen ulkopuolella eikä siten tule saamaan päivitystä. Myös datakeskuspuoli Epyceineen ja Instinct MI300A -APU-piireineen on saanut jo omat päivityksensä. Embedded-puolen prosessoreille päivitykset ollaan julkaisemassa lokakuun aikana.
Lähteet: Wired, AMD
Kaippa tämä on AMD:n vastine niille Intelin 13/14gen sekoiluille "päivittäkää 5000-sarjaan" Eipä tuolle oikein mitään pätevää selitystä ole, kerta Epyc puoli saa päivityksen.
5 Vuotta sitten ja reikä on uutisen mukaan hyvin hankalasti hyödynnettävissä.. Miksi pitäisi olla kovin "mad?"
Koska Zen 3 sen patchin saa ja käyttävät samaa kantaa, sekä samoja emolevyjä. Varsinkin kun vanhemmat epycit sen saa, niin luulisi että ongelma olisi aika vähällä vaivalla korjattavissa. Kyselin ChatGPT:ltä (tiedän, hyvä lähde) muistin virksitämiseksi että miten pitkälle Intel patchasi Spectre ja Meltdownilta prossut:
Tässäpä oikeastaan syyt sille miksi en priorisoi kummankaan valmistajan prosessoreita/alustoja vaan ostan sitä mikä on kulloisellakin hetkellä parempi. Intelin sekoilut myös ennen Raptor Lake -jupakkaa ovat keränneet ansaitusti närää mutta kyllä AMD on myös peeloillut ihan riittävästi. Tätä ennen tulee mieleen Zen 3 AGESAn turhanpäiväinen panttaaminen 300-sarjan emolevyille jossa esim. C6H sai yhteensopivan BIOSin 1½v 5000-sarjan julkaisun jälkeen jolloin itse olin siirtynyt jo Alderiin. Samoin mieleen tulee eräs kokeilemani 5000-sarjan prossu joka ei pysynyt täysin vakaana ilman positiivista PBO offsetia ja sitä rataa. TechSpotissa vastikään julkaistu artikkeli antaa esimerkit siitä, miten AMD:n markkinointi on työntänyt viimeiset pari vuotta "hieman" biasoituja testituloksia pihalle joilla saadaan uusien julkaisujen odotukset tarpeettoman korkealle.
Sympatiaa ei heru täältä tällä hetkellä kyllä yhdellekään valmistajalle.
Mitenköhän käytännöllinen tommonen olis jossain datacenttereissä tmv?
Nappi on kuitenkin kärkitieto, tai ilmeisesti nasta mikä vedetään ylös tai alas, tai kryptisempää, eli ylläpitäjä sitten vetää sen nasta hallinnasta päivitysmoodiin. Oleellista kai se että voidaan pitää erillään itse päivitysjärjestelmästä, ja oikein kriittisissä kohteissa, tuorvaluokitettu ukkelli käy avaimella kääntämässä tämä <allekirjoitus> päivitys sallittu nyt.
Vitosen palvelimessa sitten erikseen esto.
On tuo asteen nysvää, kun Ryzen 3600:aa sentään myydään edelleen ihan kaupan hyllyltä.
Vaikka itselläni "pääkoneessa" 14900K ja sitten serveripuolella AMD niin kyllä vaikka AMD:n leiriin näiden raptor lake sekoilujen jälkeen siirtyisinkin, niin en todellakaan toivo että Intel kuolee kokonaan kuluttajamarkkinoilla. Nähdään mitä Nvidia tällä hetkellä hinnoilleen tekee. Intel vuosia myös dominoi CPU puolta ja tiedetään miten pitkään 4-ydin prossut oli niitä "parhaimpia". AMD ei ole tässä tapauksessa yhtään parempi ja en henkilökohtaisesti mitään firman fanitusta ymmärrä.
Näitä yrityksiä ei kiinnosta yhtään mikään muu kuin sijoittajat. Kuluttajat on lähinnä pelinappuloita mitä koittaa haalia mahdollisimman paljon itselleen ja käyttämään mahdollisimman paljon rahaa mahdollisimman pienellä panostuksella yrityksen puolelta. (Nvidian tapauksessa eivät edes yritä enää, sillä AI tuottaa kaiken rahan)
Ei niitä bioseja usein päivitellä.
Ja sen kytkimen voi tarvittaessa vetää vaikka koneen etupaneelissa olevaan kytkimeen, joita huoltomies pystyy kääntelemään kymmeniä minuutissa.
Tai sen kytkimen voi vetää ulkoiseen relelaatikkoon, josta niitä voi ohjata tuhansiin koneisiin kerralla, towin toki tällöin alkaa kasvaa riski, että se relelaatikko pwnataan.
AMD:lla on ollut vuosia saatavilla ja käytössä "ROM Armor" ominaisuus. Suojauksen aktivointi kytkee FCH:n SPI-ohjaimen kirjoitussuojattuun tilaan heti prosessorin PSP:n käynnistyttyä.
Ominaisuus tuli takautuvasti saataville ainakin osalle X470 ja sitä uudempia emolevyjä.
7000-sarjan ja sitä uudemmilla prosessoreilla ominaisuutta on laajennettu siten, että NOR:n sisältö on ohjelmallisesti kirjoitettavissa ainoastaan, kun alusta käynnistetään erityisessä moodissa.
Mitkään tällaiset softapohjaiset ratkaisut eivät ole varmoja, koska ne saa aina kierrettyä softalla.
Haittaohjelma voi rebootata sen koneen siinä "erityisessä moodissa".
Jotain vastaavaa myös itse totesin kauan sitten, onko tällaista kytkinratkaisua käytössä missään, empä ole edes isoilta serverivalmistajilta tällaista toteutusta nähnyt vaan saman idrac/ibmi/jne kilkkeen läpi firmikset päivitellään. Luulisi yleistyvän
OEM bloat tulee suoraan UEFI muistista, ei tarvitse edes nettiä. Lataa sieltä system32 kansioon tyypillisiä OEM update avustimia ym. sekä käynnistelee servicejä taustalle. Asuksen tapauksessa armoury crate asennustiedosto tulee koneelle sekä asus update service lähtee käyntiin vaikkei nettiä olisikaan. MSI:llä myös saman tapaista.
Nämä saa kaikki onneksi biosista pois ettei asentele mitään.
Pystyykö tällä ajamaan sitten dataa tuonne biosin muistiin ja mahdolliset häkkerit käyttäisi hyväkseen noita samoja UEFI muisteja mistä OEM:t lataa omat rootkittinsä?
Eikö tällä jo onnistu kyseinen homma?
mitäs kaikkea tuolla haavoittuvuudella voi tehdä jota kernel tason pääsyllä järjestelmään ei jo voisi?
Käsittääkseni ne on jossain ihan muualla. SMM-tilassa ladataan joitain alustakohtaisia ajureita/asetuksia suojatusta SMRAM-muistista, joka suojataan taas heti kun UEFIn bootloaderi (ja sen myötä käyttiksen bootloaderi) ottavat ohjat.
Ei, kernelioikeuksilla ei pääse sörkkimään SMM-tilan suojaamaa SMRAM-muistia (paitsi nyt sitten hyödyntämällä tätä haavoittuvuutta)
Aika vähän aikaa AMD varmistaa päivitys tuen prossuille.
Jos oletetaan, että
* räkkiserverin hinta on vaikka 10000 euroa,
* sen serverin BIOS tarvii sen eliniän aikana päivittää kaksi kertaa (yhteensä 4 kertaa flipata se jumpperi)
* huoltomies pystyy kääntämään räkkiservereistä 1000 kytkintä tunnissa, ja hänen palkkansa on tältä tunnilta 30 euroa.
Niin 120 euron työllä päivitellään 10 miljoonan arvosta servereitä koko niiden eliniän ajan.
En näe tätä suurena kustannuseränä.
Eli sen bios updaten voi tehä servereihin koska vaan, bios päivityksen ajaminen ei vie ollenkaan aikaa ja sen kytkimen voi flipata samantien takaisin.
Ihan näin homma ei datacenter infran kanssa toimi. Kyseessä ei siis ole yhden miehen muutaman tunnin työ tuhansiin servereihin ja kaiken lisäksi tuhat serveriä on konesalissa hyvin vähän, niitä on satoja tuhansia.
Jättäisin ehkä kommentoimatta datacentereiden helpot päivitykset ja keskittyisin aiheisiin joista tiedät paljon kun niitäkin on.
Ja kun ohjelmallinen kirjoitussuoja kierretään, niin sitten on suuri määrä koneita saastutettu siten, että aikaa vierähtääkin reippaasti, eikä koneet ole käytettävissä silläaikaa..
Mitä ihmettä nyt oikein olkiukkoilet? En ole sanonut mitään tuollaista.
Juuri tuon takia, että siihen bios-päivitykseen menee aikaa laskin sen kytkimen päällelaittamisen ja pois päältä laittamisen erikseen, laskin että se pitää tehdä neljään kertaan kahteen BIOS-päivitykseen.
Laskin kustannusta per huoltomies per tunti, en per datakeskus.
Jos on satoja tuhansia servereitä, niiden serverien arvo on vähintään satoja miljoonia, käytännössä usein miljardeja.
Jos miljardien arvoisten serverien BIOSien päivittämiseen ei ole varaa palkata vähän suurempaa määrää huoltomiehiä kuin yhtä, jotain on datakeskuksen ylläpidossa pahasti pielessä.
Ja hienosti kokonaan ignorasit sen pointtini siitä relerasiasta. Voidaan esim. aukoa kirjoitussuoja yhdeltä räkilliseltä palvelimia kerralla, ajaa BIOS-päivitykset sen räkin koneisiin kerralla, pistää kirjoitussuoja takaisin kerralla. Tällöin sen kirjoitussuojan aukominen ja sulkeminen on parin sekunnin työ koko räkille kerralla.
Ja jo siinä vaiheessa kun on päästy niin syvälle että yritetään sitä ohjelmallista kirjotussuojaa kiertää niin ollaan jo aika monta layeriä päästy kiertämään melkoisilla hakkeri taidoilla.
Hyvä että sinulla on vuonna 2024 ratkaisu näin yksinkertaiseen ongelmaan. Jostain kumman syystä tällaista ratkaisua ei kuitenkaan missään ole. Voitko laittaa schemat vaikka sellaisesta 200000 releen boksista niin saadaa edes joku datacenter tuotua tälle vuosituhannelle bios päivitysten osalta.
Voisitko nyt lopettaa tämän typerän olkiukkoilun?
Yhdessä räkissä on suuruusluokkaa sata palvelinta, ei 200000 palvelinta.
Niitä räkkejä on siellä datakeskuksessa sitten se suuruusluokkaa tuhat tai parituhatta kappaletta, jolloin koko datakeskuksessa on se satatuhatta tai parisataatuhatta konetta.
Ja esim. virransyötölle siellä saattaa olla juuri tuontyylinen releboksi.
Voin toisen kivekseni pistää tähän pantiksi, että jos tästä ei olisi (esim Redditissä) ihmiset "uliseet" niin tätä ei 100% varmuudella olisi tapahtunut.
Hyvä juttu toisaalta että vähän valoja saatiin päälle AMDn päässä tästä asiasta
Kertoohan tuo jotain, että AMD on erikseen pyytänyt vielä ylimääräistä lisäaikaa, ettei teknisiä tietoja julkistaisi.
Tämä Intelin tapaus kertoo jotain. Ja ehkä miksi x86 aletaan vihdoin karsimaan. vaikka suorituskykyyn tai hintaan ei vaikuttaisi, mutta tästä tietoturvaan vaikuttaa. Ja ring 0 on kernel, joten uutisessa on virhe.
aika lyhyt
https://www.blackhat.com/docs/us-15/materials/us-15-Domas-The-Memory-Sinkhole-Unleashing-An-x86-Design-Flaw-Allowing-Universal-Privilege-Escalation-wp.pdf
Tyypilliseen AMD tapaan ensin koitetaan luistaa ja kun nousee älämölöä niin tehdään se mitä olis pitänyt jo muutenkin, eli kolmetonnisetkin on saaneet/saamassa korjauksen:
AMD reverses course, releases microcode update to fix Sinkclose flaw in Ryzen 3000 CPUs
http://www.techspot.com
Tai sitten niitä vain markkinoidaan tietoturvana mutta todellinen syy niiden lisäämiselle on se, että niillä saadaan yhä enemmän hallittua sitä, mitä koodia käyttäjä voi ajaa koneellaan, yhä uusia tapoja rajoittaa käyttäjän toimintaa erilaisilla DRM tekniikoilla, yhä uusia mahdollisuuksia takaporteille joilla NSA ja kumppanit pääsevät tunkeutumaan koneeseen ja niin edelleen.
"Security", "trusted"… juuh okei.
"Responsible disclosure"-paske hiiteen ja kaikki julkiseksi heti. Mitä enemmän lukee näitä juttuja, sitä enemmän toivoisi että kaikki julkiseksi heti. Ei IT ala muuten opi.
Tässä nimenomaisessa tapauksessa tosin heräsi pieni toivo, että jos SMM tilaa hyödyntämällä kerran päästään melko rajoituksetta käyttämään muistia, ehkä noiden "trusted" ympäristöjen sisältäkin, niin ehkäpä tätä hyödyntämällä voitaisiin murtaa joitakin DRM järjestelmiä esimerkiksi?