Exponen 13 supuestas vulnerabilidades de seguridad y puertas traseras en los sistemas AMD Ryzen

CTS-Labs con sede en Israel acaba de lanzar un sitio web donde se analizan un total de trece vulnerabilidades de seguridad que afectan a la microarquitectura de CPU “Zen” de AMD. Según los investigadores, estos son de niveles comparables a “Meltdown” y “Spectre”, ya que podrían permitir a los atacantes instalar malware en partes del procesador altamente protegidas.

En actualización según se desarrolle y se conozca información

El alcance de las nuevas vulnerabilidades es amplio y diverso, la auditoría de seguridad reveló múltiples vulnerabilidades críticas de seguridad y puertas traseras del fabricante en los últimos procesadores EPYC, Ryzen, Ryzen Pro y Ryzen Mobile de AMD. Según los investigadores, estas vulnerabilidades tienen el potencial de poner a las organizaciones en un riesgo significativamente mayor de ciberataques.

Al parecer, los investigadores le dieron a AMD menos de 24 horas para analizar las vulnerabilidades y responder antes de publicar este informe.

CTS-Labs ha producido un informe que detalla estas vulnerabilidades disponibles en amdflaws.com . Honestamente, con todos los nombres como amdflaws, Ryzenfall, etc., uno pensaría que cierta “otra” compañía estaría detrás de CST-Labs, o esto sería algo #fakenews (lo cual es posible). Mientras sea posible, eso parece muy exagerado, pero la forma en que se manejó y publicó la información “huele bastante mal”. La divulgación completa de todo este contenido parece y se siente como una campaña de mercadotecnia, con un video de youtube de un tipo frente a una pantalla verde con fondos agregados, con el canal YT creado para este anuncio, el sitio web de amdflaws creado simplemente a fines de febrero. Todo se siente … muy raro. También según los expertos en seguridad, CTS exagera en gran medida el impacto de las vulnerabilidades.

De todos modos, publicaremos y daremos seguimiento, pero por favor tengan en cuenta el escepticismo, los investigadores autodeclarados ahora han compartido esta información con AMD, Microsoft, HP, Dell y compañías de seguridad seleccionadas, para que puedan trabajar en el desarrollo de mitigaciones y parches, y examinar e investigar estas y otras vulnerabilidades potenciales en la compañía. Los exploits involucran todas las arquitecturas basadas en ZEN, por lo que incluyen Ryzen, Threadripper y EPYC también. Según los expertos, las vulnerabilidades de firmware como MASTERKEY, RYZENFALL y FALLOUT tardarán varios meses en solucionarse. Las vulnerabilidades de hardware como CHIMERA no pueden repararse y requieren una solución alternativa.

Es mucho para digerir, puedes consultarlo aquí , actualizaremos esta noticia más adelante con más información. Los trece exploits se han agrupado en cuatro segmentos.

Master Key
Ryzenfall
Fallout
Quimera

Es molesto el hecho de que varias de las vulnerabilidades se encuentran en la parte segura de los procesadores, generalmente donde su dispositivo almacena datos confidenciales como contraseñas y claves de cifrado. Echemos un vistazo a ellos.

Master Key (llave maestra)

Normalmente, cuando un dispositivo se inicia, pasa a través de un “Arranque seguro”. En este proceso, su procesador se usa para verificar que nada en su computadora haya sido alterado, y solo inicia programas confiables. La vulnerabilidad de la clave maestra se salta esta comprobación de arranque, instalando malware en el BIOS de la computadora, la parte del sistema de la computadora que controla cómo se inicia. Una vez que está infectado, la clave maestra permite a un atacante instalar malware en el procesador seguro, lo que significa que tendrá un control completo de los programas que se pueden ejecutar durante el proceso de inicio. A partir de ahí, la vulnerabilidad también permite a los atacantes desactivar las funciones de seguridad en el procesador.

Ryzenfall

Los procesadores Ryzen de AMD son los que se ven afectados aquí específicamente, lo que permite potencialmente que el malware se apodere completamente del procesador seguro, incluidos los datos de acceso protegido, como las claves de cifrado y las contraseñas. Estos segmentos en el procesador normalmente no pueden ser alcanzados por un atacante regular, de acuerdo con los investigadores. Si un atacante puede eludir a Windows Defender Credential Guard, significaría que podría usar los datos robados para propagarse a otras computadoras dentro de esa red. Credential Guard es una función de Windows 10 Enterprise, que almacena sus datos confidenciales en una sección protegida del sistema operativo a la que normalmente no se puede acceder. “El Windows Credentials Guard es muy efectivo para proteger las contraseñas en una máquina y no les permite propagarse”, dijo Luk-Zilberman. “El ataque hace que la difusión a través de la red sea mucho más fácil”.

Fallout

De forma similar a Ryzenfall, Fallout permitirá a los atacantes acceder a secciones de datos protegidos, incluida Credential Guard. Pero esta vulnerabilidad solo afecta a los dispositivos que usan el procesador seguro EPYC de AMD. Estos chips se usan para centros de datos y servidores en la nube, conectando computadoras usadas por industrias de todo el mundo. Si un atacante usó las vulnerabilidades descritas en Fallout, podría usarlo para robar todas las credenciales almacenadas y diseminadas por la red.

“Estas credenciales de red se almacenan en una máquina virtual segregada a la que no se puede acceder mediante herramientas de piratería estándar”, dijo el CEO de CTS-Labs, Ido Li On. “Lo que sucede con Fallout es que esta segregación entre máquinas virtuales se ha roto”. Las máquinas virtuales segregadas son porciones de la memoria de su computadora separadas del resto del dispositivo. Los investigadores lo usan para probar malware sin infectar al resto de su computadora. Piense en ello como una computadora virtual dentro de su computadora. En Credential Guard, los datos confidenciales se almacenan allí y se protegen para que, si su computadora estuviera infectada con malware normal, no pudiera acceder a ella.

Quimera

Este exploit se basa en dos vulnerabilidades, una reside en el firmware y otra en el hardware. El chipset Ryzen en sí mismo permite que se ejecute malware en él. Debido a que el tráfico WiFi, de red y Bluetooth fluye a través del chipset, un atacante podría usarlo para infectar su dispositivo, dijeron los investigadores. En una demostración de prueba de concepto, los investigadores dijeron que era posible instalar un keylogger a través del chipset. Keyloggers permitiría a un atacante ver todo lo que se escribe en una computadora infectada. Los problemas de firmware del chipset significan que un ataque puede instalar malware en el propio procesador.

¿Ahora que?

No se sabe cuánto tiempo tomará abordar y solucionar estos problemas si algunos de ellos se pueden solucionar en absoluto. CTS-Labs dijo que no recibió respuesta de AMD, pero considerando que dieron a AMD 24 horas para digerir todo esto, tiene sentido. Los investigadores dijeron que podría llevar varios meses arreglarlo. Algunos de los exploits en el hardware no se pueden arreglar, agregan.

Decimos que se requieren pruebas y verificación. ¿Deberías estar preocupado? Bueno, por lo que hemos leído, los cuatro niveles de vulnerabilidades requieren acceso administrativo real hacia su PC . Esto significa que necesitaría entregar el acceso completo a su PC. Y sí, cualquier cosa y cualquier persona que entregue derechos de administrador correrían peligro de todos modos. Adicioanlemente, las vulneravilidades son a nivel de plataformas de soporte, no a nivel de CPU, algunas con actualizaciones en BIOS pueden corregirse, otras deberían requerir de cambio de motherboards

En el momento de escribir, estamos mirando los anuncios de la vulnerabilidad con una buena cantidad de escepticismo, y ustedes también deberían. Aconsejo a todos que esperen lo que AMD tiene que decir sobre esto, una vez que hayan tenido la oportunidad de digerir toda la información y las acusaciones.

Hay muchas cosas que me molestan:

  • La divulgación de 24 horas opuesta a la norma de la industria 90/180 días es simplemente incorrecta
  • Los registros de dominio de “amdflaws.com” se crearon el 22 de febrero de 2018.
  • La empresa solo figura en la lista desde 2017, y muestra información de la compañía muy deficiente.
  • Dominio registrado no directamente sino a través de “domainsbyproxy.com”.
  • El dominio está registrado en GoDaddy, de forma privada. Ninguna información de contacto del dominio es pública.
  • Su canal oficial de Youtube con ese video fue creado en marzo de este año. Ese sería el canal oficial YT de la compañía.
  • El video parece marketing
  • Nombres como Ryzenfall suenan como si alguien de marketing lo hubiera inventado.
  • ¿Exactamente 13 defectos? ¿Un número desafortunado?
  • El documento técnico no muestra ninguna información técnica específica.
  • Hoy temprano, cuando se conocieron las noticias y se publicó la información, realicé algunas búsquedas de Google en CTS-Labs, que reveló muy poco, para una agencia de seguridad establecida y proclamada.
  • Las partes del sitio web www.cts-labs.com se copian de documentos PDF públicos
  • Como empresa de seguridad, el sitio web de cts-labs ni siquiera tiene https disponible.
  • Todas las cosas combinadas levantan muchas banderas rojas, ahora también podemos agregar esto:

    Actualmente, se especula que este lanzamiento de información es un intento de manipular el precio de las acciones de AMD. El short seller Viceroy Research podría desempeñar un papel en esto. Esa compañía publicó relativamente rápido después de CTS la afirmación de que las ‘revelaciones’ serían el golpe de gracia para AMD.

    Al final, todo esto podría ser un engaño o una trama para dañar a AMD o para auto-beneficio (Bolsa de valores), y a medida que pasa el tiempo, ese parece ser el caso. Muchso analistas, y la mayoria de los comentarios de usuario en los sitios especializados parecen revelar un intento de manipulación. A Viceroy Research ya esta siendo investigado y cancelados algunas presentaciones comerciales/finacieras.

    A medida que esta noticia se puso en marcha, informes desde AMD, dicen que tienen un equipo interno trabajando en los reclamos de CTS-Labs. El sentimiento general es que han sido algo sorprendidos por todo esto, dado el tiempo limitado desde la notificación hasta la divulgación, y están utilizando el equipo interno para validar los reclamos realizados. CTS-Labs indica que ha compartido los métodos específicos que utilizó para identificar y explotar los procesadores con AMD, así como también a compartido los detalles con las compañías de seguridad seleccionadas y los reguladores de los EE.UU.

    Todos los exploits requieren acceso de administrador elevado, con MasterKey yendo tan lejos como ser necesario un reflash del BIOS. Sin embargo, CTS-Labs pasa a la ofensiva, afirmando que se trata de “preguntas sobre prácticas de seguridad, auditorías y controles de calidad en AMD”, y diciendo que “las vulnerabilidades equivalen a una completa indiferencia de los principios fundamentales de seguridad”. Esta es una redacción muy fuerte, y uno podría haber esperado a que hubieran esperado una respuesta oficial. El otro ángulo es que dada Spectre/Meltdown, la divulgación de ‘día 1’ fue diseñada para el impacto máximo. En cualquier caso, el tiempo justo para desarrollar un sitio web.

    CTS-Labs es muy franco con su declaración, aparentemente ha informado previamente a la prensa al mismo tiempo que estaba notificando a AMD, y dirige las preguntas a su empresa de relaciones públicas. El informe técnico completo se puede ver aquí, en safefirmware.com, un sitio web registrado el 6/9 sin página de inicio y aparentemente sin enlace a CTS-Labs. Algo no termina de cuadrar aquí.

    Declaración de AMD

    “Acabamos de recibir un informe de una compañía llamada CTS Labs que afirma que hay posibles vulnerabilidades de seguridad relacionadas con algunos de nuestros procesadores. Estamos investigando y analizando activamente sus hallazgos. Esta compañía era desconocida anteriormente para AMD y nos parece inusual para una seguridad firma para publicar su investigación a la prensa sin proporcionar un tiempo razonable para que la empresa investigue y aborde sus hallazgos. En AMD, la seguridad es una prioridad y estamos trabajando continuamente para garantizar la seguridad de nuestros usuarios a medida que surgen nuevos riesgos potenciales. Vamos a actualizar este blog a medida que se desarrollen las noticias”.

    Fuentes:
    www.anadtech.com
    www.pcgamer.com/hardware
    www.guru3d.com

    10 Replies to “Exponen 13 supuestas vulnerabilidades de seguridad y puertas traseras en los sistemas AMD Ryzen”

      • Maikel Autor del Post

        hola ronnin, si algo asi es util ara los invidentes, de mucha ayuda. y si, se puede hacer, y me gustaria ayudar. justo ahora estoy extremadamente cogiodo de trabajao, y eventos, pero la semana que viene la tengo de vacaciones (por obligacion, estaba pasado de dias acumulados, jajaja), ver que puedo armar esos dias, digo si no me complico, tengo desde ya una didea como hacerlo. el asunto es que no se trabajar para moviles, a lo mas modifique una app de prueba de otro para que hiciera cosas mias, yo trabajo en desktop. pero, los que se puede hacer mas menos rapido, para Android estan las bibliotecas y se puede trasladar el codigo sin problema.

        Responder
      • Maikel Autor del Post

        todo el mundo resaltando la cabron’a de los que publicaron esto y la forma que lo hicieron, y las motivaciones $$ de varias partes y las cosas que huelen mal que siguen saliendo. Pero de que sean cierto los problemas, no hay nada confirmado. Con los Spectre y Meltdown se supo mas detallado y confirmaciones de que iba la cosa a penas se publico, porque ya se venia trabajando en eso desde 3 meses antes de la publicacion oficial. estos no dieron ni 24 horas.
        hasta San Linus Torlvads se esta c.g.n.d. en sus progenitoras, jjjjjj
        por lo demas, todos los problemas descritos, se debe tener acceso a maximo nivel de los sitemas, uno incluso a nivel de flasherar el bios, y ya para eso se tiene acceso a todo, o me llevo las compus conmigo, jjj
        bueno, ya veremos que sale de esto

        Responder
        • Maikel Autor del Post

          que intel saco ayer al fin parches buenos para micros mas viejos hasta SandyBridge (2da gen), y que el refrescameinto de la 8va gen deben traer en hadware algunas mitigaciones basicas, las mejores quedan para mas arriba

          Responder
    1. yo(el primero)

      le dieron 24 horas para digerir blah… le dieron 24 horas para llegar a un acuerdo $, al que al parecer no llegaron
      amd debe haber sacado la calculadora y por lo que puedan perder en imagen no vale la pena vincularse con nada de esa gente y listo
      a mi no me sorprende nada de eso… igual que lo de meltdawn y spectre, ya han generado más dinero en clickbait y gente asustada que lo que le va a costar realmente a la gente que no le haga caso
      para empezar a los diseñadores de los logos esos les tienen que haber pagado algo, esa gente no trabajan en reflejos, + los eventos, el transporte, las conferencias y reuniones… y así y así…
      esto es más de lo mismo, si intel o amd sacaran un procesador normal de consumo que rindiera 5 o 6 veces más que el anterior, se estuviera hablando de otra cosa

      Responder
    2. Marshmello

      algun punto débil tendrían q tener, es como un corredor d atletismo, despues halla ganado la carrera, al tiempo le digan “dame aca la medalla hijo q metiste trampa

      Responder

    Deja un comentario

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *