描述 AMD“Zen”安全漏洞更多細節
對於近日 CTS-Labs 爆出 AMD “Zen” 存在13 種安全漏洞及後門,外界對 CTS-Labs 的行為作出抨擊並揣測他們別有目的, CTS-Labs 隨即公佈了一份 Whitepaper 試圖在缺乏技術細節的情況下消除外界的疑慮及一些批評意見,並講述四個漏洞類別中獲得的更多技術細節。
CTS-Labs 澄清關於最近的漏洞
CTS-Labs 描述了第二階段的漏洞細節,主要與企業網絡、組織及雲端供應商有關,企業網絡上的運算機偶爾會受到攻擊:無論是通過網絡釣魚嘗試、零日攻擊還是員工下載錯誤的文件,高安全性的企業網絡能夠處理這種 “日常” 攻擊,他們通過保持系統最新、實現安全功能以及採用其他措施 ( 如 Endpoint Security 解決方案 ) 來實現這一點。
在初始本地攻擊之後,攻擊者唯一需要的就是本地管理員權限及受影響的系統,為了澄清誤解:在不需要 Physical Access 物理訪問、沒有數字簽名、沒有額外的漏洞來刷新未簽名的 BIOS,攻擊者只需利用一個平台,以管理員身份就可以輕易運行漏洞程式。
擁有這些漏洞的攻擊者將獲得以下附加功能:
持續性:攻擊者可以在 CPU 啟動之前將惡意軟件加載到 AMD 安全處理器中,從這個位置他們可以阻止進一步的BIOS更新,並保持隱藏安全產品。這種持久性水平是極端的 - 即使您重新安裝操作系統或嘗試重新刷新 BIOS,它將使不起作用。
隱形:目前,AMD Secure Processor 或 AMD 晶片組內部幾乎都是安全產品的範圍,AMD 晶片可能成為攻擊者操作的安全天堂。
網絡證書竊取:繞過 Microsoft Credentials Guard 並竊取網絡證書的能力,例如 IT 部門在受影響的機器上留下的證書。我們有一個 PoC 版本的 mimikatz,即使啟用了 Credential Guard 也能工作,竊取域憑據可幫助攻擊者移動到網絡中更高價值的目標。
CTS-Labs測試過的硬件列表:
BIOSTAR B350 GT3 Ryzen 主機板
GIGABYTE AB350-GAMING 3
HP EliteDesk 705 G3 SFF Ryzen Pro Machine
HP Envy X360 Ryzen 筆記本電腦
TYAN B8026T70AV16E8HR EPYC SERVER
GIGABYTE MZ31-AR0 EPYC 伺服器
RYZENFALL,FALLOUT
需求:Physical Access 物理訪問不是必需,攻擊者只需要能夠在系統上以 Local Admin 管理員權限運行EXE即可。
影響:
-寫入 SMM 記憶體,導致可執行 SMM 的代碼。
-通過 PSP 讀取和/或修改 Credential Guard VTL-1 記憶體。
-在 PSP 內實現代碼執行的 Ryzenfall-4 導致了上述的所有攻擊者能力,以及修改 PSP 及其安全特性的能力。
-攻擊者可以使用 RYZENFALL 或 FALLOUT 繞過 Windows Credential Guard,竊取網絡憑據,然後使用這些來橫向移動通過基於 Windows 的企業網絡
MASTERKEY
需求:Physical Access 物理訪問不是必需的,攻擊者只需要能夠在系統上以 local admin 管理員權限運行 EXE 即可,並等待系統重啟。
影響:MASTERKEY 系列漏洞使攻擊者能夠在 PSP 內執行 unsigned code,並完成安全處理器妥協,透過重新刷新 BIOS 以執行此漏洞:
-在某些主機板上可以直接使用,這是因為PSP固件經常被BIOS Signature檢查忽略。
-在其他情況下,RYZENFALL#1-2 可以作為 MASTERKEY 在 SMM 中實現代碼執行並繞過 SMM 代碼中進行的 BIOS Signature 檢查的先決條件。
-即使一切都失敗了,我們仍然認為使用 RYZENFALL-4 亦有可能從 PSP 內部寫入 SPI Flash。
CHIMERA
要求:Physical Access 物理訪問不是必需,攻擊者只需要能夠在系統上以 Local Admin 管理員權限運行 EXE 即可。
影響:CHIMERA 系列漏洞是由台灣公司 ASMedia 開發的 AMD 晶片組上留下的一組製造商後門。
-這允許攻擊者將惡意代碼注入晶片並接管晶片組(Read / Write / Execute)。
-一組後門可通過固件實現,另一組則在晶片的實際邏輯門(ASIC)中實現,兩者都可同樣帶來相同的影響。