В AMD представили исправления для устранения серьезных уязвимостей процессоров, связанных с проблемой в микрокоде, которые, по данным компании, способны привести к потере защиты Secure Encrypted Virtualization (SEV). Технология защиты памяти виртуальных машин AMD SEV позволяет изолировать виртуальные машины от гипервизора при возникновении угроз в случаях его компрометации.

В AMD выпустили два исправления. Одно из них должно предотвратить загрузку злоумышленниками вредоносного микрокода и требует для этого обновления микрокодов на всех затронутых платформах. Для некоторых платформ необходимо также обновить прошивки SEV для поддержки аттестации SEV-SNP (Secure Nested Paging), подтверждающей целостность виртуальной машины и ее окружения. Обновление образа BIOS и перезагрузка платформы позволяют гостевой системе убедиться в обновлении целевой платформы на основе данных из отчета об аттестации SEV-SNP.

Работа без таких исправлений приводит к значительным рискам кибербезопасности, подчеркивают в AMD, так как «неправильная проверка подписи в загрузчике исправлений микрокода для процессора AMD позволяет злоумышленнику с привилегиями локального администратора загрузить вредоносный микрокод, что приводит к потере конфиденциальности и целостности гостевой системы, работающей под управлением AMD SEV-SNP».

Наряду с этим, в AMD выпустили исправление для противодействия атакам по сторонним каналам на основе кэша (cache-based side-channel attack), которые также влияют на SEV. Такие атаки могут использоваться для доставки поддельного микрокода, якобы подписанного AMD или другим доверенным источником, способного изменить функциональность процессора.

Они опасны для процессоров AMD EPYC 1-го поколения, ранее — Naples, 2-го поколения (Rome), 3-го поколения (Milan) и 4-го поколения (Genoa), а именно — серий AMD EPYC Embedded 3000, 7002, 7003 и 9004.

Эксперты в области безопасности в целом одобрили действия AMD. Так, по мнению аналитиков Moor Insights & Strategy, ответ компании был быстрым и обстоятельным, несмотря на значительный объем усилий для разработки исправлений, их тщательного тестирования и координации действий со своим сообществом.

Наиболее опасным периодом для возникновения критических ситуаций из-за подобных уязвимостей эксперты считают временной интервал между их обнаружением и внедрением исправлений, так как корпоративным пользователям приходится ждать, пока OEM-производители и другие партнеры внесут исправления в микрокод конкретного оборудования — от пары дней до недель, если у производителя недостаточно ресурсов.

В компании LexisNexis Risk Solutions считают чрезвычайно важным, чтобы системные администраторы следили за состоянием интерфейса UEFI (Unified Extensible Firmware Interface) между операционной системой и встроенным ПО: «Если UEFI — так называемый системный BIOS — не обновляется, проблема с микрокодом будет повторяться при каждой перезагрузке серверов».

Возникшая с процессрами AMD ситуация показывает, насколько глубоко проблемы с микропрограммами влияют на современныe компьютеры, отметили в работающей в области безопасности компании SubRosa, пояснив, что в будущем это затруднит внесение экстренных исправлений, поскольку обновления микрокода потребуют полной перезагрузки системы.