AMD heeft verschillende berichten gepubliceerd om beveiligingslekken in cpu’s en firmware aan te pakken. Kwaadwillenden krijgen door deze lekken de mogelijkheid om met hoge rechten kwaadaardige code in systemen te injecteren en uit te voeren. Firmware-updates zijn noodzakelijk om deze lekken te dichten.
Om wat voor kwetsbaarheden gaat het?
Vier kwetsbaarheden stellen kwaadwillenden in staat om op verschillende manieren toegang te verkrijgen tot en inhoud te wijzigen in flashgeheugen dat is verbonden via SPI. Normaal gesproken bevindt het BIOS zich in het SPI-flashgeheugen en kan op deze manier worden gemanipuleerd.
Dit maakt het mogelijk voor kwaadwillenden om eigen code te injecteren en uit te voeren, waarbij ze de hoogste rechten verkrijgen. De bijbehorende CVE-entries zijn CVE-2023-20576, CVE-2023-20577, CVE-2023-20579 en CVE-2023-20587. AMD beoordeelt het risico van alle kwetsbaarheden als “hoog”.
Welke cpu’s zijn er getroffen?
Diverse processoren worden door AMD als getroffen vermeld. Onder andere de voor datacenters bedoelde EPYC-cpu’s van de eerste tot de vierde generatie, desktop-cpu’s Ryzen van de 3000-serie tot de 7000-serie, Threadripper uit de 3000- en 5000-serie, evenals de mobiele processoren van de Athlon 3000-serie en Mobile Ryzen van de 3000- tot de 7000-serie.
Ook Embedded-processoren van de EPYC- en Ryzen-merken worden door AMD tot de kwetsbare cpu’s gerekend. Niet alle genoemde processoren zijn tegelijkertijd kwetsbaar voor alle vier de lekken. De beveiligingsmelding noemt firmware-blobs met versienummers voor de verschillende cpu’s die fabrikanten in hun BIOS kunnen integreren.
Altijd op de hoogte blijven van alle beveilingslekken?
Schrijf je in voor de gratis nieuwsbrief:
Kwetsbaarheden in embedded-processors
Veel meer dan een handvol beveiligingslekken meldt AMD in de Embedded-cpu’s. Sommige dateren al ver terug, zoals het jaar 2020, en betreffen bijvoorbeeld de AMD Platform Security Processor (PSP), die nu AMD Secure Processor (ASP) heet. Door beveiligingslekken in de drivers of in de kernel kunnen kwaadwillenden hun rechten uitbreiden.
Naast deze zijn er vijf andere, als hoog risico beoordeelde kwetsbaarheden, die kwaadwillende actoren in staat stellen hun rechten uit te breiden of willekeurige programmacode uit te voeren. Ook hier is niet elke Embedded-processor getroffen door elk vermeld beveiligingslek. AMD biedt ook hier firmware-blobs aan om de beveiligingsgaten te dichten.
Problemen met Ultrascale- en Ultrascale+-FPGA’s
AMD deelt ook mee dat de Ultrascale- en Ultrascale+-FPGA’s, die RSA-authenticatie gebruiken zonder versleuteling of zonder afgedwongen versleuteling door een ingesteld eFUSE-register, door kwaadwillenden met willekeurige gegevensstromen beladen kunnen worden, zonder een authenticatiefoutmelding te genereren (CVE-2023-20570, risico “gemiddeld”). Een ontwerp-aanbeveling zou het risico moeten verlagen.
Lekken in SEV-SNP-firmware
Iets exotischer zijn lekken in de Secure Encrypted Virtualization en Secure Nested Paging (SEV-SNP)-firmware. Een lek stelt kwaadwillenden met verhoogde rechten in staat om (verouderde) gegevens van andere gastsystemen te benaderen (CVE-2023-31346, gemiddeld) of een onjuiste Time Stamp Counter (TSC) voor een gastsystem te tonen, wanneer eigenlijk een Secure TSC geactiveerd was – dit kan de integriteit van het gastsystem schenden (CVE-2023-31347, laag).
Aanbevelingen voor gebruikers van AMD-systemen
Gebruikers van AMD-systemen moeten uitkijken of de fabrikant van hun systeem BIOS-updates aanbiedt, en deze installeren wanneer ze beschikbaar zijn. In augustus vorig jaar hadden Intel en AMD meerdere beveiligingslekken in de cpu’s ontdekt. Microcode- en firmware-updates zouden hierbij moeten helpen. Ook toen moesten moederbord- en PC-bouwers deze in hun eigen BIOS-updates gieten en deze verspreiden, zodat eindgebruikers beschermd werden.
Altijd op de hoogte blijven van alle beveilingslekken?
Schrijf je in voor de gratis nieuwsbrief van c’t magazine: