Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Vraagtekens rond 'onthulling' kwetsbaarheden in AMD Ryzen- en Epyc-platformen

Een onderzoeksbureau claimt kwetsbaarheden gevonden te hebben in de Secure Processor van AMD's Ryzen- en Epyc-platformen. Het bureau heeft AMD slechts 24 uur voor publicatie ingelicht. Deskundigen zijn sceptisch over de gang van zaken.

Volgens het IsraŽlische beveiligingsbedrijf CTS bevat de AMD Secure Processor tien kritieke kwetsbaarheden, die gebruikt kunnen worden om kwaadaardige code naar het processoronderdeel te schrijven. De fouten treffen Ryzen-, Ryzen Mobile-, Ryzen Pro- en Epyc-processors van AMD. Daarnaast zou AMD voor zijn Ryzen-chipsets gebruikmaken van kwetsbare ASMedia-chips, die backdoors  bevatten, zo luidt de claim.

CTS heeft de kwetsbaarheden onderverdeeld in vier categorieŽn, met de namen Masterkey, Ryzenfall, Fallout en Chimera. Masterkey is een verzameling van drie kwetsbaarheden, die de Hardware Validated Boot van Epyc- en Ryzen-chips op drie manieren kan omzeilen om willekeurige code op de Secure Processor te draaien. Deze Secure Processor is een ARM Cortex A5-soc die geÔntegreerd is in de processor en zijn eigen OS draait. De soc handelt beveiligde functies op gebied van versleuteling, virtualisatie en de Trusted Platform Module af en draagt zorg voor een gevalideerde bootsequentie.

Om Masterkey succesvol in te kunnen zetten dient een aanvaller in staat te zijn het bios te flashen, wat op zich al diverse aanvalsscenario's met zich meebrengt. Voorkomen dat ongeautoriseerde biosupdates doorgevoerd kunnen worden, zou dan ook al voldoende beschermen, aldus het bedrijf.

De vier Ryzenfall-kwetsbaarheden richten zich op AMD's Secure OS dat op de Secure Processor draait. De Epyc-processors zijn er niet vatbaar voor. Via deze lekken zou een aanvaller niet alleen code kunnen draaien op de beveiligde processor, maar ook afgeschermd geheugen kunnen uitlezen zoals Windows Isolated User Mode en Isolated Kernel Mode, Secure Management RAM en AMD Secure Processor Fenced DRAM. Hiervoor moet de aanvaller wel lokaal software kunnen draaien met beheerdersrechten, wat opnieuw hoe dan ook al de deur openzet voor veel beveiligingsproblemen. Bovendien moet de Secure Processor benaderd worden via een ondertekende driver wat een flink obstakel is voor daadwerkelijk misbruik.

De drie Fallout-kwetsbaarheden zijn gericht op Epyc en betreffen het bootonderdeel van de Secure Processor. Ook om Fallout te misbruiken zijn beheerdersrechten en toegang via een driver vereist. De backdoors van de ASMedia-chip in de Ryzen- en Epyc-chipsets noemt CTS Chimera. Een backdoor zou in de firmware van de asic zitten en de andere zou hardwarematig zijn. Volgens het onderzoeksbedrijf is de ASMedia-chip gebaseerd op de ASMedia ASM1142, waarvan de beveiligingsproblemen al eerder aangetoond zouden zijn. Opnieuw zijn echter beheerdersrechten en toegang via een ondertekende driver nodig.

CTS is een relatief jong bedrijf dat vooral veel aandacht lijkt te hebben besteed aan de marketing rond de kwetsbaarheden. Het bedrijf beschrijft de kwetsbaarheden in een document en op de site AMDFlaws maar daar staan weinig details en volgens beveiligingsdeskundigen overdrijft CTS de impact enorm.  Volgens CTS zijn details wel gedeeld met AMD en andere beveiligingsbedrijven. Volgens CNet heeft CTS AMD slechts 24 uur voor publicatie ingelicht. Daarmee hanteert het bureau niet de standaard voor responsible disclosure, die een termijn van minstens 90 dagen hanteert voor bedrijven om adequaat te kunnen reageren op meldingen.

Op Reddit wordt gespeculeerd dat het om een poging gaat de aandelenkoers van AMD te manipuleren. Hierbij zou ook de short seller Viceroy Research een rol spelen. Dat bedrijf publiceerde relatief snel na CTS de claim dat de 'onthullingen' de doodsteek voor AMD zouden betekenen.

Door Olaf van Miltenburg

NieuwscoŲrdinator

13-03-2018 • 18:22

113 Linkedin Google+

Reacties (113)

Wijzig sortering
Op Reddit wordt gespeculeerd dat het om een poging gaat de aandelenkoers van AMD te manipuleren. Hierbij zou ook de short seller Viceroy Research een rol spelen. Dat bedrijf publiceerde relatief snel na CTS de claim dat de 'onthullingen' de doodsteek voor AMD zouden betekenen.
Dus eerst een artikel helemaal uitschrijven met een korte verwijzing naar scepsis van deskundigen, en vervolgens dit op het einde van het artikel.
Dus tweakers draagt eerst bij aan de "doodsteek" om het na lang lezen deels te ontkrachtigen.

Ik persoonlijk zou het omdraaien.
Meldt de bevindingen van het bedrijf, vervolgens dit stuk en daarna uitwijden wat het bedrijf zegt te hebben ontdekt....
Als CTS zoveel overdreven heeft als men zegt, vermoed ik dat het gewoon de bedoeling was om zichzelf meer in de kijker te zetten. Ik zie niet in waarom zij AMD financieel zouden willen schaden. Maar mogelijk houden ze wel van publiciteit en naamsbekendheid.

Viceroy Research willen misschien wel goedkoop AMD aandelen inkopen. Of misschien hebben ze de onthullingen van CTS daadwerkelijk (mede door het overdrijven door CTS) geÔnterpreteerd als een onoverkomelijk probleem en dus de doodsteek voor AMD.

Zelf denk ik dat het gaat om kwetsbaarheden die gepatched kunnen worden. AMD brengt AGESA Code uit die moederbord fabrikanten in hun firmware integreren. En waarschijnlijk is er een update nodig van deze code om de beveiliging te verbeteren.

Als de bevindingen van CTS kloppen, hebben ze wel ingewikkeld onderzoek uitgevoerd op AMD's platform. De technische kennis die daar vergaard werd is dan best indrukkend te noemen. Misschien dat dat opgemerkt wordt en de aandelen van CTS in hoogte in gaan. Ik zou er wat van kopen, maar denk niet dat ze beursgenoteerd zijn.
Als je biossen moet flashen en admin rechten moet verkrijgen om dit allemaal te misbruiken.... Wat is dan eigenlijk het risico?

Zodra een aanvaller een bios kan flashen heb je nog wel meer security problemen en als je op een systeem admin rechten weet te verkrijgen en drivers kan installeren, ben je dus al helemaal binnen.

Snap eigenlijk niet waarom ze AMD slechts 24 uur durven te geven hiervoor. Ik ben best wel een beetje skeptisch over deze gang van zaken.
Ze geven AMD slechts 24 uur omdat AMD dan nooit met een gecordineerde en gepaste response kan komen, dit geeft CTS de gelegenheid om een hoop shit te stirren en toch te zeggen dat ze AMD hebben ingelicht...

Het klinkt allemaal nogal als een truuk om de aandelenkoers te beinvloeden, Bios flashen, een signed malicious driver zien te regelen, root rechten nodig... storm in een shotglaasje water
Dat was ook gelijk mijn gedachte, wel heel toevallig dat er een smaad campagne vlak na het Spectre schandaal van Intel komt.
Heeft Intel niet grote R&D centra in IsraŽl? Ik zie al snel een link. Maar ja, daar heb ik dan ook wel vaker last van :o
Komt op mij over als de zoveelste partij die (in dit geval veel te laat trouwens) probeert een slatje te slaan uit het hele spectre verhaal, ja joh, niet zo gek dat de 'recente' processoren van rond de tijd dat het hele verhaal bekend werd vatbaar zijn, ze kunnen moeilijk iedereen een nieuwe processor sturen.

Uiteindelijk weet iedereen die ook maar een beetje op heeft gelet dat alle processoren van alle merken (yup, ook qualcomm mediatek en noem het allemaal maar op) een intern OS draaien, waar zorgwekkend weinig mensen de details van weten, en waarvan nu massaal blijkt dat de veiligheid te kort komt, vanaf dag 1 was duidelijk dat het probleem bij AMD net zo groot was als bij Intel, dus waarom ze nu achteraf moord en brand gaan schreeuwen ontgaat me volledig, alles wat hier genoemd is was al bekend, en word al aan gewerkt.

Trouwens, dit is volgens mij wel weer een primeur voor het bedrijf in kwestie, dit is bij mijn weten de eerste keer dat een 'al genaamd' probleem een set nieuwe namen krijgt, en ik moet toegeven dat ryzenfall een leuk gevonden naam is :+

P.S. Precies deze problemen heb ik zelfs zelf nog in de eerste dagen van meltdown-gate als tip naar de redactie gestuurd (niet zelf ontdekt ofzo hoor, maar stond uitgebreid artikel over op HaD) dus hoe dit bedrijf hier nu pas mee komt is me echt een raadsel

[Reactie gewijzigd door olivierh op 13 maart 2018 22:21]

De aanvaller dient in staat te zijn de bios te Flashen, een driver te ondertekenen, en beheerdersrechten te hebben.

Als je die drie dingen toch al hebt waarvoor heb je dan nog een cpu vulnerability nodig? Je hebt dan toch al volledige controle.

Extreem aangedikt papverhaal lijkt me
Stukje uit paper

"On motherboards where re-flashing is not possible because it has been blocked, or because BIOS updates must be encapsulated and digitally signed by an OEM-specific digital signature, we suspect an attacker could occasionally still succeed in re-flashing the BIOS. "

Pure speculatie

[Reactie gewijzigd door ELD op 13 maart 2018 18:37]

weinig details en volgens beveiligingsdeskundigen overdrijft CTS de impact enorm.
Had dat niet de titel van het artikel kunnen zijn?
Ladingen tekst over van alles en nog wat, maar wat allemaal maar moeilijk te bewerkstelligen is.
Lijkt wel een beetje een reactie op de problemen die wel structureel voor Intel processors spelen, en sommige problemen ook voor AMD.

Het lijkt een heel gedetailleerd artikel, met zoveel info, maar die zin die ik quote is toch eigenlijk wel de crux.
Lol.. Viceroy Research, niet echt een hele betrouwbare naam... Short-trader en er waren al verbaasde blikken over het volume AMD wat verhandeld werd...

CTS-labs is in 2017 opgericht en bijna ook ten onder gegaan, en als ik het zo lees zijn ze sinds eind februari opeens weer uit de rode cijfers na een kapitaal injectie..
Domein amdflaws.com is op 22 feb 2018 geregistreerd via goDaddy (?!?) en heeft geen openbare eigenaar. Misschien nog meest opvallende er is op amdflaws en op de site van cts labs zelf geen spoor van https te vinden. Hoezo securityfirm...

Klinkt niet echt heel erg geloof waardig aangezien veel flaws opgeklopt zijn.. Admin of hardware toegang noodzakelijk in veel gevallen ..

[Reactie gewijzigd door Atmosphere op 13 maart 2018 21:54]

Hiervoor moet de aanvaller wel lokaal software kunnen draaien met beheerdersrechten, wat opnieuw hoe dan ook al de deur openzet voor veel beveiligingsproblemen. Bovendien moet de Secure Processor benaderd worden via een ondertekende driver wat een flink obstakel is voor daadwerkelijk misbruik.
Dat is dus niet waar, beheerdersrechten en ondertekende drivers zijn echt niet zo spannend als men denkt dat het is, dat is ook in het verleden al gebleken. Code signing certificaten zijn bijvoorbeeld iets wat je gewoon koopt, met als idee dat als er misbruik wordt geconstateerd dat het certificaat weer teruggetrokken kan worden, maar dan is het al te laat. Een andere vorm waarop die ondertekening minder relevant is, is dat certificaten van andere bedrijven misbruikt worden, bijvoorbeeld met Stuxnet waarbij het certificaat van Realtek gebruikt werd.

Qua beheerdersrechten is het ook niet nieuw dat er gewoon een lokale exploit gebruikt kan worden, op windows bijvoorbeeld recent weer een NTFS bug die goed te gebruiken was om op elk willekeurig windows systeem SYSTEM te worden.

Natuurlijk is het zo dat het een drempel is, en dat geen bescherming hebben ook niet helpt, maar doen alsof een digitale handtekening en wat rechten een super hoge barriŤre is gaat ook wel wat ver, het kan immers nog steeds zonder fysieke toegang gedaan worden, en ook compleet geautomatiseerd.

Het echte probleem (waar dus ook de nieuwswaarde zit t.o.v. de standaard OS patches van Microsoft/Apple/Linux-distros) zit hem in het feit dat je een persistent rootkit krijgt, net als met de Intel Management Engine. Zodra je bij Intel software in de PCH kan schrijven of bij AMD software in the CPU kan schrijven kan je de hardware in de shredder gooien. Bovendien kan je OS er dus helemaal niks tegen doen als het al gebeurd is.
Dit lijkt wel wat verder dan alleen smaad te gaan. Er lijken duidelijk connecties te zijn tussen de mensen achter dit "beveiligingsbedrijf" en beheerders van hedgefunds die kennelijk wel vaker proberen om geld te verdienen aan ploselinge schommelingen in beurskoersen. Daarmee zou dit ook beursmanipulatie/fraude zijn.

Overigens zijn de "kwetsbaarheden" lachwekkend. Je hoeft kennelijk alleen maar fysieke toegang tot de systemen te hebben met admin rechten omdat je zaken zoals een bios flash moet uitvoeren. O-)

Verder waren een aantal waaronder ik er op het forum al ingedoken. Tja, in de disclaimer van de website kom je quotes tegen zoals:

"The opinions expressed in this report are not investment advice nor should they be construed as investment advice or any recommendation of any kind."

"The report and all statements contained herein are opinions of CTS and are not statements of fact."

"Although we have a good faith belief in our analysis and believe it to be objective and unbiased, you are advised that we may have, either directly or indirectly, an economic interest in the performance of the securities of the companies whose products are the subject of our reports."

https://gathering.tweaker...message/54576197#54576197
Zie ook: https://amdflaws.com/disclaimer.html

Dit kan zomaar gaan eindigen in een klacht over fraude bij beurswaakhonden en een flinke aanklacht van AMD voor smaad.

[Reactie gewijzigd door DaniŽlWW2 op 13 maart 2018 18:59]

Echt schade aanrichten is dan ook niet echt het doel. Stortte de koers van AMD in, dan krijg je geheid beurswaakhonden op je dak omdat dit de aandacht trekt. Nee, waar ze hier op gegokt lijken te hebben is een daling van een paar procent. Hier gaat het waarschijnlijk om "short selling". In feite "leen" je dan aandelen van een andere partij voor een bepaald bedrag. Deze verkoop je vervolgens voor de huidige koers. Je speculeert vervolgens op een prijsdaling en als die uitkomt dan verdien je er geld aan.

Stel dat je duizend aandelen AMD had die had geleend en verkocht voor $12. Toen zakte de prijs naar $11,60 en kocht je weer duizend aandelen terug en deze geef je terug. Je wint is dan 1000x$0,40= $400 minus de transactiekosten en het bedrag dat je hebt betaald voor de lening. Doe je dit met honderdduizenden aandelen dan loopt het bedrag aardig op. Heb je vervolgens iets te maken met de koersdaling door valse berichten te verspreiden, dan is dat beursfraude.

Hier lijkt een hedgefonds achter te zitten. Het probleem is dat ze absoluut het verkeerde bedrijf hebben gekozen om mee te speculeren. AMD heeft een klein leger van zeer trouwe, soms ronduit rabiate fans die dergelijke zaken zeer snel zullen zien en kunnen achterhalen. De advocaten van AMD zullen maar wat blij zijn met dat leger op het moment. Het wordt ze wel heel makkelijk wordt gemaakt voor hun waarschijnlijk zeer riante uurtarieven. :+
Ik denk dat Intel hier niks mee te maken heeft. De "kwaliteit" van de white paper is ook veel, veel te slecht om serieus te nemen. Iedereen met een klein beetje technische kennis en de beschikking over Google kan er zo gaten in prikken. Dat is dan ook al gedaan. ;)
https://twitter.com/cynic...status/973591954096381952

Verder heeft AMD ook officieel gereageerd. Die zijn ook vrij sceptisch...
http://ir.amd.com/news-re.../view-our-corner-street-0
Lachwekkend?

Het zijn dezelfde rechten die je nodig heb om de kwetsbaarheden van Intel cups te gebruiken.
Intel werd daarom compleet met de grond gelijk gemaakt en met rechtzaken bestookt en amd leek er goed vanaf te komen.
Maar nu blijkt dat ook amd mogelijk problemen heeft 8s het ineens smaad en lachwekkend?

Dus wat minder snel oordelen en afwachten.
Malware dat de bios flashed is immers niet nieuw.
Dus als dit waar zou zijn is dit even 'ernstig' als de intel lekken.
Intel lekken zijn grotendeels via een Web browser in user space te doen en zijn totaal verschillend. Daarnaast had/heeft het Intel management systeem een lek waarbij je via de netwerkkaart zonder fysieke toegang het systeem kon aanvallen. Nog niet eens te spreken over het lek waarbij je doormiddel van een Pi i.c.m. USB bus of de Thunderbolt bus een draaiend systeem kon hacken, wel fysieke toegang nodig, maar geen admin rechten.

Voor deze AMD "kwetsbaarheden" moet je eigenlijk gewoon beheerder zijn met fysieke toegang en moet voor bepaalde acties zelfs het systeem down. Toen ik het las dacht ik bij mezelf, ze beschrijven gewoon standaard beheer scenario's en noemen het een AMD bug. Je kan het woord AMD in deze "kwetsbaarheden" vervangen door, Intel, ARM, Qualcom, Apple en dan nog kloppen de beweringen.

Je moet het als volgt zien. Ik geef jou een gebruikersnaam en wachtwoord, jij logt in en zegt, kijk een kwetsbaarheid, ik kan inloggen.
Er zijn een aantal flinke verschillen:
1) voor de Intel vulnerabilities was er wel tijd gegeven voor responsible disclosure
2) er was duidelijke (technische) uitleg en basis proof of concept code
3) CTS is erg nieuw en nogal onbekend
4) dit ziet er allemaal heel erg gelikt uit qua marketing, maar er is weinig bewijs
5) de whitepaper staat vol onzin

Ik ben het met je eens - dit is puur een poging om AMD te beschadigen.

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True