Exploit de CPU AMD lanzado por una empresa de seguridad desconocida con 24 horas de anticipación

La falla del chip AMD, publicada por la firma de seguridad israelí CTS Labs, requirió mucho trabajo para explotar.

¿Crear una presentación de diapositivas, un tono o una presentación? Aquí está la esencia:

• Aunque AMD solo fue notificado de la vulnerabilidad dentro de las 24 horas, el nombre de dominio que anuncia la vulnerabilidad se registró el 22 de febrero.
• Estas vulnerabilidades requieren que el sistema afectado ya se haya visto comprometido de otras formas.

La avalancha de cobertura en la prensa tecnológica es atractiva, especialmente después de la divulgación de vulnerabilidades de alto perfil como Meltdown y Spectre, Heartbleed y POODLE, que pueden atraer motivos ocultos como afectar a AMD EPYC, Ryzen, Ryzen Pro y Ryzen Una serie de vulnerabilidades en Procesadores móviles.

La divulgación es la primera de CTS Labs, una empresa de seguridad israelí fundada el año pasado. Las vulnerabilidades, examinadas en detalle en el sitio hermano de Tecnopedia, CNET, giran en torno a la implementación del Procesador de seguridad de plataforma (PSP) de AMD. Todas estas vulnerabilidades requieren que un atacante ya haya obtenido acceso de administrador a la máquina, mientras que la vulnerabilidad «MasterKey» requiere actualizar el BIOS para explotar. El uso real de estas vulnerabilidades requeriría que un atacante encontrara alguna otra forma de comprometer el sistema. Si bien estas vulnerabilidades no son buenas en sí mismas, no se acercan a la urgencia que rodea a Meltdown y Spectre.

Por lo general, los investigadores de seguridad dan a las empresas 90 días para abordar una vulnerabilidad antes de revelarla al público. Dada la complejidad de Meltdown y Spectre, la divulgación pública se retrasó medio año para dar a la empresa más tiempo para diagnosticar el problema y desarrollar una solución. Parece que CTS Labs solo le dio a AMD un aviso de 24 horas antes de anunciar públicamente la vulnerabilidad en AMDFlaws.com, que según los registros de WHOIS se registró el 22 de febrero. El lanzamiento en sí no proporciona una prueba de concepto o detalles técnicos específicos para permitir que otros escriban un código de prueba de concepto.

VER: Una guía para líderes de TI para recuperarse de un ciberataque (Tech Pro Research)

CTS Labs contactó al investigador de seguridad Dan Guido la semana pasada y proporcionó detalles completos de la vulnerabilidad. Si bien Guido afirmó en una serie de tuits que las vulnerabilidades eran reales, señaló que aceptó la solicitud inicial solo por curiosidad y se ofreció a experimentar con CTS a una «tarifa semanal» después de que aumentaran las preguntas de CTS Labs sobre las vulnerabilidades. .

AMD emitió una breve declaración sobre la divulgación:

Acabamos de recibir un informe de una empresa llamada CTS Labs de que algunos de nuestros procesadores tienen una posible vulnerabilidad de seguridad. Estamos investigando y analizando activamente sus hallazgos. Anteriormente, AMD desconocía esta empresa, y nos pareció inusual que una empresa de seguridad diera a conocer sus hallazgos a los medios sin darle a la empresa una cantidad de tiempo razonable para investigar y abordar sus hallazgos. En AMD, la seguridad es una prioridad máxima, y ​​siempre estamos trabajando arduamente para mantener seguros a nuestros usuarios a medida que surgen nuevos riesgos potenciales.

Sin embargo, la especificidad del entorno de lanzamiento no se detiene ahí. Un grupo llamado «Grupo de Investigación Viceroy» publicó un documento titulado «AMD – Obituario», que promociona términos como «negligente», «fatal», «aparentemente negligente» y «absolutamente peligroso». , «El aumento meteórico en el precio de las acciones de AMD ahora parece completamente injustificado y completamente insostenible. No hay otra alternativa que abordar los efectos del reciente descubrimiento».

Viceroy ciertamente fue parte de la historia cuando se trató de revelar estas vulnerabilidades. El sitio web de Viceroy no incluye contactos ni miembros de la organización, y parece estar alojado en WordPress.com. El documento de 33 páginas generó dudas porque se publicó pocas horas después de la divulgación de CTS. Eso no sería posible sin un acceso temprano significativo, aunque AMD solo recibió un aviso de un día.

Sin embargo, este no es el primer documento que produce Viceroy. Viceroy publicó previamente un documento que detalla las irregularidades contables en el grupo minorista sudafricano Steinhoff. La situación provocó la renuncia del director ejecutivo y una pérdida de casi el 90% de su valor de mercado, según Bloomberg.

Una investigación realizada por el sitio web sudafricano de noticias financieras Moneyweb reveló que Viceroy estaba dirigida por Gabriel Bernarde, un exanalista de la firma de reestructuración Ferrier Hodgson, su compañero de clase Aidan Lau y el trabajador social Fraser John Perring, quien fue retirado de la lista de HCPC en 2014. Registro de mala conducta y falsificación de registros.

El investigador de seguridad Arrigo Triulzi resumió el informe de divulgación en Twitter:

Tecnopedia contactó a ambos AMD, pero no recibió respuesta al cierre de esta edición.

renovar: El cofundador de CTS Labs, Yaron Luk, proporcionó la siguiente declaración:

Estoy muy orgulloso del trabajo que ha hecho nuestro equipo. Hemos podido identificar fallas graves en los procesadores que podrían poner en riesgo a millones de consumidores. Hemos verificado cuidadosamente nuestros resultados tanto internamente como con el verificador externo Trail of Bits. Proporcionamos descripciones técnicas completas y pruebas de concepto de las vulnerabilidades a AMD, Microsoft, Dell, HP, Symantec y otras empresas de seguridad. Revelar detalles técnicos completos pone a los usuarios en riesgo. Esperamos la respuesta de AMD a nuestros hallazgos.

Mientras tanto, Linus Torvalds escribió una publicación mordaz sobre la divulgación en Google+.