Advertentie
Beveiligingsonderzoekers bij Google hebben een problematische aanvalshoek gevonden voor AMD’s populaire Zen-processoren. Zo kreeg men het voor elkaar om steeds hetzelfde willekeurige nummer te produceren. We schreven eind januari al over dit lek, dat toen uitlekte via een BIOS-update van Asus. Inmiddels heeft het beveiligingsteam deze week meer details vrijgegeven over de kwetsbaarheid.
De beveiligingsonderzoekers bij Google hebben een ingebouwde beveiliging weten te omzeilen, waardoor ze hun eigen microcode konden laden op de chip. Als proof of concept heeft men microcode ontwikkeld die, terwijl het een willekeurig nummer zou moeten genereren, altijd ‘4’ uitspuugt. Microcode bepaalt immers hoe een chip werkt en beïnvloedt de opstartprocedure. Normaal gesproken kunnen alleen updates van AMD zelf worden geïnstalleerd, omdat deze beveiligd zijn met een cryptografische handtekening.
De Google-onderzoekers hebben er echter in geslaagd hun eigen microcode te schrijven, die door alle AMD-processoren op basis van de Zen-architectuur wordt geaccepteerd. Hoewel het risico voor thuisgebruikers minimaal is, vormt het op datacenterniveau een serieus gevaar. Met de methode van Google kan men AMD’s Secure Encrypted Virtualization (SEV) en Root of Trust-securityfuncties omzeilen. Hierdoor zou gevoelige data in cloudomgevingen op straat kunnen belanden.
De kwetsbaarheid zelf zit in een hash-algoritme dat de handtekening van de microcode controleert. Aanvallers kunnen hierdoor eigen microcode-patches uploaden. De kwetsbaarheid heeft de aanduiding CVE-2024-56161 gekregen.
De patch voor deze kwetsbaarheid is onderweg. AMD is al sinds september 2024 op de hoogte en had in december al een fix klaar. Deze zal worden uitgerold als een officiële microcode-update, die via moederbordleveranciers wordt verspreid. In eerste instantie worden servers en embedded processoren gepatcht, maar voor desktop-updates moeten we nog even wachten.
AMD benadrukte nogmaals dat een aanvaller administratieve rechten nodig heeft om deze aanval uit te kunnen voeren. Dit maakt het risico vooral groot voor cloudcomputing. Meer details en aanvullende beveiligingsfixes worden gepubliceerd op 5 maart 2025.