گروهی از پژوهشگرهای گوگل یک نقص امنیتی بزرگ را در پردازندههای Zen شناسایی کرده است که امکان اجرای Microcode دلخواه یا دستکاری شده را روی پردازنده میدهد. این به معنای آن است که هر فردی اکنون میتواند پردازنده AMD خود را بهاصطلاح «جیلبریک» کند.
این نقص، که EntrySign نامگذاری شده است، تمامی پردازندههای AMD مبتنی بر ریزمعماریهای Zen 1 تا Zen 4 را تحت تأثیر قرار میدهد. AMD بهسرعت یک بهروزرسانی BIOS برای برطرف کردن این آسیبپذیری منتشر کرد، اما پردازندههایی که BIOS آنها قبل از 17 دسامبر 2024 (27 آذر 1403) بهروزرسانی شده باشد، همچنان در معرض خطر هستند. هرچند سوء استفاده از این آسیبپذیری نیاز به مجوزهای ادمین سیستم و دسترسی فیزیکی به آن دارد، اما کاربران و سازمانها برای جلوگیری از هرگونه تهدید احتمالی باید سیستمهای خود را به جدیدترین نسخه BIOS موجود آپدیت کنند.
نقص امنیتی EntrySign چگونه کار میکند؟
میکروکد، لایهای پاییندست از دستورالعملها است که چگونگی کارکرد پردازنده را تعیین میکند. AMD و Intel بهجای استفاده از میکروکدهای دائمی در زمان تولید، سیستمهایی برای بهروزرسانی آن در زمان نیاز دارند تا در صورت کشف آسیبپذیری، مشکل را برطرف کنند.
اما EntrySign این امکان را فراهم میکند که کاربران بتوانند میکروکدهای کاستوم خود را روی پردازندههای Zen 1 تا Zen 4 اجرا کنند. این تغییر میتواند به دسترسی به بافرهای داخلی CPU، تغییر سطح امنیت ماشینهای مجازی (VMs) و حتی تغییرات گستردهتر منجر شود. در ابتدا، گزارش AMD بیشتر بر پردازندههای سرور EPYC و تأثیر این آسیبپذیری بر امنیت ارتباطات از راه دور متمرکز بود، اما تحقیقات جدید نشان داده که این نقص تمامی پردازندههای Zen را تحت تأثیر قرار داده و کارکردهای آن از دستکاری لینکهای امن بسیار فراتر میرود.
برای اجرای بهروزرسانیهای میکروکد، AMD از یک سیستم تأیید مبتنی بر کلیدهای رمزنگاریشده استفاده میکند. این فرایند به امضای دیجیتال AMD وابسته است تا از نصب آپدیتهای میکروکد غیرمجاز جلوگیری کند. اما محققان گوگل دریافتند که AMD از تابع رمزنگاری AES-CMAC بهعنوان یک تابع هش استفاده کرده است، درحالیکه این استفاده خارج از استانداردهای معمول محسوب میشود. این مسئله باعث شد که محققان بتوانند کلیدهای امنیتی را مهندسی معکوس کرده و مکانیزم تأیید امضای دیجیتال را دور بزنند.
جالبتر اینکه، AMD در فرآیند رمزنگاری خود از یک کلید نمونه که بهصورت عمومی توسط NIST منتشر شده بود، استفاده کرده است. این اقدام، کار تیم گوگل را در کشف و بهرهبرداری از این آسیبپذیری بسیار آسانتر کرده است.
گوگل کیتی منتشر کرده است که به کاربران امکان میدهد میکروکدهای کاستوم خود را روی پردازندههای AMD اجرا کنند. با این حال، یک نکته مهم این است که میکروکدهای بارگذاریشده پس از هر بار راه اندازی دوباره سیستم از بین میروند و این باعث میشود که آزمایشهای انجامشده در بیشتر موارد بدون خطر دائمی باشند.
در همین رابطه بخوانید:
– آیا CPU هم هک میشود؟ مروری بر آسیبپذیریهای امنیتی پردازنده مرکزی
– صدها میلیون CPU در خطر هک شدن؛ کشف حفره امنیتی جدید Sinkclose در پردازندههای AMD
– واکنش عجیب AMD به آسیبپذیری خطرناک Sinkclose: برای پردازندههای قدیمی آپدیتی در کار نیست!
بااینحال، اگر یک مهاجم با دسترسی بالا به سیستم بتواند از این آسیبپذیری استفاده کند، ممکن است بتواند کنترل کاملی بر نحوه اجرای دستورات پردازنده داشته باشد، امنیت سیستم را تضعیف کند و به دادههای حساس دسترسی پیدا کند.
برای جلوگیری از هرگونه سوءاستفاده از این آسیبپذیری، کاربران پردازندههای AMD باید BIOS مادربرد سیستم خود را به جدیدترین نسخه منتشرشده پس از 17 دسامبر 2024 بهروزرسانی کنند.
درحالیکه برای کاربران معمولی، این نقص ممکن است جذابیتهای فنی داشته باشد، اما از نظر امنیتی، یک چالش جدی برای سازمانها و مراکز داده محسوب میشود. محققان امنیتی توصیه میکنند که مدیران IT هرچه سریعتر سیستمهای خود را بررسی و در صورت نیاز، بهروزرسانی کنند.
