AMD potwierdza istnienie poważnej luki w procesorach Zen 5

Mowa o luce nazwanej mianem EntrySign AMD-SB-7033. Została ona ujawniona przez zespół Google Security i wówczas zakładano, że dotyczy ona procesorów z serii Zen – do Zen 4 włącznie. Niestety, teraz okazuje się, że również układy z serii Zen 5 są narażone na ataki.

Do grona układów Zen 5 zaliczają się następujące serie procesorów: AMD Ryzen 9000, Epyc 9005, Ryzen AI 300 oraz Ryzen 9000HX. Wszystkie te CPU – co potwierdza ich producent – są narażone na ataki z wykorzystaniem wspomnianej podatności. Jak bardzo poważna jest sprawa?

Luka pozwala każdemu, kto ma uprawnienia lokalnego administratora, zainstalować niestandardowe aktualizacje mikrokodu na podatnych procesorach – tym samym omijając kryptograficzne zabezpieczenia wprowadzone przez AMD. To zaś przekłada się na szereg możliwości – badacze wymieniają tu np. kwestię aktualizacji, która modyfikuje funkcję instrukcji RDRAND w taki sposób, żeby ta zwracała zawsze określoną wartość. To zaś może spowodować, że przełamanie kryptograficznych zabezpieczeń w oprogramowaniu korzystającym z rzeczonej instrukcji do generowania liczb losowych okaże się bardzo łatwe.

W zasięgu atakujących dany system są również manipulacje pamięcią, przejmowanie kontroli nad systemem operacyjnym czy obchodzenie różnorakich zabezpieczeń sprzętowych. Luka może zostać również wykorzystana do naruszania izolacji maszyn wirtualnych – co może przełożyć się na znaczące problemy w środowisku serwerowym.

Pocieszeniem jest tu na pewno fakt, że w przypadku poprzednich generacji Zen AMD zareagowało adekwatnie do problemu, a sam atak wymaga uprawnień administratora lokalnego oraz jego działanie nie utrzymuje się po zrestartowaniu komputera. Jeśłi chodzi o Zen 5, to producent układów już wypuścił odpowiednią poprawkę, która trafiła do aktualizacji mikrokodu AGESA o nazwie ComboAM5PI 1.2.0.3c przeznaczonej dla płyt głównych wyposażonych w gniazdo AM5. Żeby zrobić z niej użytek, wystarczy pobrać odpowiednią aktualizację z witryn producentów "mobo". Te wkrótce powinny zacząć się pojawiać. Aktualizacje dla serwerów są jak na razie dopiero w opracowaniu.