El 12 de marzo de 2018, AMD recibió una comunicación de CTS Labs sobre investigaciones sobre vulnerabilidades de seguridad que involucran algunos productos de AMD. Menos de 24 horas después, la firma de investigación hizo públicos sus hallazgos. La seguridad y protección de los datos de los usuarios es de suma importancia para nosotros en AMD y hemos trabajado rápidamente para evaluar esta investigación de seguridad y desarrollar planes de mitigación cuando sea necesario. Esta es nuestra primera actualización pública sobre esta investigación, y cubrirá tanto nuestra evaluación técnica de los problemas como las acciones de mitigación planificadas.

Los problemas de seguridad identificados por los investigadores de terceros no están relacionados con la arquitectura de CPU “Zen” de AMD ni con los exploits de Google Project Zero que se hicieron públicos el 3 de enero de 2018. En cambio, estos problemas están asociados con el firmware que administra el procesador de control de seguridad integrado en algunos de nuestros productos (AMD Secure Processor) y el chipset utilizado en algunas plataformas de escritorio socket AM4 y socket TR4 compatibles con procesadores AMD.

Como se describió con más detalle más arriba, AMD completó rápidamente su evaluación y está en el proceso de desarrollar y organizar el despliegue de mitigaciones. Es importante tener en cuenta que todos los problemas planteados en la investigación requieren acceso administrativo al sistema, un tipo de acceso que concede efectivamente al usuario acceso ilimitado al sistema y el derecho a eliminar, crear o modificar cualquiera de las carpetas o archivos en el sistema. computadora, así como cambiar cualquier configuración.
Cualquier atacante que obtenga acceso administrativo no autorizado tendrá una amplia gama de ataques a su disposición mucho más allá de los exploits identificados en esta investigación. Además, todos los sistemas operativos modernos e hipervisores de calidad empresarial hoy en día tienen muchos controles de seguridad efectivos, como Microsoft Windows Credential Guard en el entorno de Windows, para evitar el acceso administrativo no autorizado que tendría que superarse para poder afectar estos problemas de seguridad. Puede encontrar una aclaración útil de las dificultades asociadas con la explotación exitosa de estos temas en esta publicación de Trail of Bits, una firma independiente de investigación de seguridad contratada por los investigadores externos para verificar sus hallazgos.
Los problemas de seguridad identificados se pueden agrupar en tres categorías principales. La tabla anterior describe las categorías, la evaluación de impacto de AMD y las acciones planificadas.
AMD proporcionará actualizaciones adicionales tanto sobre nuestro análisis de estos problemas como sobre los planes de mitigación relacionados en las próximas semanas.