AMD ออกมาตรการลดผลกระทบ และอัปเดตเฟิร์มแวร์เพื่อแก้ไขช่องโหว่ระดับความรุนแรงสูง ที่สามารถถูกใช้เพื่อโหลด Microcode ของ CPU ที่เป็นอันตรายบนอุปกรณ์ที่ยังไม่ได้อัปเดตแพตช์

ช่องโหว่ด้านความปลอดภัย (CVE-2024-56161) มีสาเหตุมาจากความบกพร่องจากการตรวจสอบ Signature ที่ไม่เหมาะสมใน microcode patch loader ใน CPU ROM ของ AMD

ผู้ไม่หวังดีที่มีสิทธิ์ระดับผู้ดูแลระบบ สามารถใช้ช่องโหว่นี้ในการโจมตี โดยอาจส่งผลให้เกิดการสูญเสียการรักษาความลับ และความถูกต้องของข้อมูลในระบบของ guest ที่ทำงานภายใต้ AMD Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP)

ตามแหล่งข้อมูลการพัฒนาของ AMD "SEV ทำหน้าที่แยก guest และ hypervisor ออกจากกัน ขณะที่ SEV-SNP เพิ่มการป้องกันความถูกต้องของหน่วยความจำ โดยสร้างสภาพแวดล้อมการทำงานที่แยกจากกัน เพื่อช่วยป้องกันการโจมตี hypervisor เช่น data replay, memory re-mapping และอื่น ๆ"

AMD ได้ออกมาตรการลดผลกระทบ โดยกำหนดให้มีการอัปเดต Microcode บนแพลตฟอร์มที่ได้รับผลกระทบทั้งหมด เพื่อป้องกันการเรียกใช้ Microcode ที่เป็นอันตราย

แพลตฟอร์มบางส่วนยังต้องการการอัปเดตเฟิร์มแวร์ SEV สำหรับการตรวจสอบความถูกต้องของ SEV-SNP โดยผู้ใช้งานต้องอัปเดตระบบ BIOS และรีบูตเครื่องเพื่อเปิดใช้งานการตรวจสอบมาตรการลดผลกระทบ

เพื่อยืนยันว่าได้ติดตั้งมาตรการลดผลกระทบอย่างถูกต้อง ให้ตรวจสอบว่าเวอร์ชันของ Microcode ตรงกับเวอร์ชันที่ระบุในตารางด้านล่างนี้

ทีมความปลอดภัยของ Google ระบุว่า "เราได้แสดงให้เห็นถึงความสามารถในการสร้างแพตช์ Microcode ที่เป็นอันตรายได้ตามต้องการบน CPU ตั้งแต่ Zen 1 ถึง Zen 4 ช่องโหว่นี้เกิดจากการที่ CPU ใช้ฟังก์ชันแฮชที่ไม่ปลอดภัยในการตรวจสอบ Signature สำหรับการอัปเดต Microcode"

ช่องโหว่นี้สามารถถูกใช้โดยผู้ไม่หวังดีเพื่อโจมตี Workloads การประมวลผลที่เป็นความลับที่ได้รับการป้องกันโดย AMD Secure Encrypted Virtualization เวอร์ชันล่าสุด (SEV-SNP) หรือเพื่อโจมตีระบบ Dynamic Root of Trust Measurement"

นักวิจัยด้านความปลอดภัยของ Google ซึ่งได้รับเครดิตในการค้นพบช่องโหว่ และรายงานช่องโหว่นี้ให้ AMD ทราบ ได้เผยแพร่ PoC สำหรับการโจมตี ซึ่งผ่านการทดสอบบน CPU AMD EPYC และ AMD Ryzen 9 โดยแสดงให้เห็นว่าผู้ไม่หวังดีสามารถสร้างแพตช์ Microcode ตามต้องการได้

PoC ของพวกเขาทำให้คำสั่ง RDRAND บนโปรเซสเซอร์ AMD Zen ที่มีช่องโหว่คืนค่าคงที่เป็น 4 เสมอ ซึ่งตั้งค่าสถานะ carry flag (CF) เป็น 0 ด้วยเช่นกัน ซึ่งแสดงให้เห็นถึงว่าค่าที่ส่งคืนไม่ถูกต้อง และทำให้มั่นใจว่าผู้ไม่หวังดีไม่สามารถใช้การโจมตีนี้ "เพื่อโจมตี Workloads การประมวลผลที่เป็นความลับที่ทำงานได้อย่างถูกต้อง"

สัปดาห์นี้ AMD ได้รับรายงานจาก Li-Chung Chiang ที่ NTU (National Taiwan University) ซึ่งอธิบายถึงการโจมตีแบบ side-channel ที่ใช้ cache-based ต่อ Secure Encrypted Virtualization (SEV) ที่ส่งผลกระทบต่อโปรเซสเซอร์ในศูนย์ข้อมูล (1st Gen ถึง 4th Gen AMD EPYC) และโปรเซสเซอร์แบบฝังตัว (AMD EPYC 3000/7002/7003/9004)

AMD แนะนำให้นักพัฒนาปฏิบัติตามแนวทางที่ดีที่สุดสำหรับการโจมตีแบบ prime and probe (เช่น อัลกอริธึมที่ใช้เวลาเท่ากัน) หลีกเลี่ยงการใช้ข้อมูลที่ขึ้นอยู่กับ secret-dependent และปฏิบัติตามคำแนะนำเกี่ยวกับการโจมตีประเภท Spectre

ที่มา : bleepingcomputer 

พบช่องโหว่ด้านความปลอดภัยใหม่ในโปรเซสเซอร์ที่ใช้สถาปัตยกรรม Zen 2 ของ AMD ซึ่งอาจถูกใช้ในการโจมตีเพื่อดึงข้อมูลที่สำคัญ เช่น Keys การเข้ารหัส และรหัสผ่าน

ช่องโหว่นี้ถูกพบโดยนักวิจัยจาก Google Project Zero ชื่อ 'Tavis Ormandy' และถูกเรียกว่า 'Zenbleed' โดยมีหมายเลข CVE-2023-20593 (CVSS: 6.5) ที่ทำให้สามารถดึงข้อมูลออกมาได้ที่อัตรา 30 kb ต่อ core ต่อวินาที

ช่องโหว่นี้เป็นส่วนหนึ่งของช่องโหว่ที่เรียกว่า การโจมตีด้วยการดำเนินการเชิงคาดเดา (speculative execution attacks) ซึ่งเป็นเทคนิคที่ใช้เพิ่มประสิทธิภาพที่ใช้กันอย่างแพร่หลายในหน่วยประมวลผลยุคใหม่ เพื่อเข้าถึง Keys การเข้ารหัสจาก CPU registers

AMD ระบุว่า "ภายใต้สถานการณ์ Microarchitectural การ register ใน CPU Zen 2 อาจเขียนค่า 0 อย่างไม่ถูกต้อง ทำให้ข้อมูลจาก process และ Thread อื่น ๆ ถูกจัดเก็บไว้ใน YMM register ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่มีความสำคัญได้"

โดย Cloudflare ตั้งข้อสังเกตว่า การโจมตีสามารถดำเนินการได้จากภายนอกผ่านสคริปต์ JavaScript บนเว็บไซต์ ซึ่งทำให้ไม่จำเป็นต้องมีการเข้าถึงเครื่องคอมพิวเตอร์ หรือเซิร์ฟเวอร์โดยตรง

Derek Chamorro และ Ignat Korchagin นักวิจัยของ Cloudflare ระบุว่า "การดำเนินการแบบ Vectorized สามารถดำเนินการได้อย่างมีประสิทธิภาพอย่างมาก โดยใช้ YMM registers ซึ่งแอปพลิเคชันที่ประมวลผลข้อมูลปริมาณมากจะได้รับประโยชน์จากเทคนิคนี้ แต่ในขณะเดียวกันก็เป็นจุดที่เป็นความเสี่ยงเช่นเดียวกัน"

การโจมตีนี้ดำเนินการโดยการแก้ไขไฟล์รีจิสเตอร์เพื่อบังคับให้คำสั่งคาดการณ์ผิด เนื่องจากไฟล์รีจิสเตอร์ถูกใช้ร่วมกันโดยกระบวนการทั้งหมดที่ทำงานบนคอร์เดียวกัน การโจมตีนี้สามารถใช้ดักฟังข้อมูลในการดำเนินการของระบบพื้นฐานได้ โดยการตรวจสอบข้อมูลที่ถูกส่งต่อระหว่างหน่วยประมวลผล และส่วนอื่น ๆ ของคอมพิวเตอร์

ปัจจุบันยังไม่มีหลักฐานที่แสดงให้เห็นว่าช่องโหว่นี้ถูกนำมาใช้ในการโจมตีจริง แต่แนะนำให้อัปเดต Microcode เพื่อลดความเสี่ยงที่อาจเกิดขึ้น เมื่อมีข้อมูลที่สามารถอัปเดตได้ผ่านทางผู้ผลิตอุปกรณ์ (OEMs)

อ้างอิง : https://thehackernews.

ในช่วงสัปดาห์ที่ผ่านมา RansomHouse ได้มีการส่งข้อความผ่าน Telegram ของพวกเขาว่าจะมีการขายข้อมูลของบริษัทที่มีชื่อสามตัวอักษร และขึ้นต้นตัวอักษร “A” ซึ่งหลังจากนั้นเมื่อวันที่ 27 มิถุนายน 2565 ที่ผ่านมาทางกลุ่ม RansomHouse ก็ได้มีการเพิ่ม AMD ลงในเว็บไซต์ Data leak ของตนเองโดยอ้างว่ามีข้อมูลที่ขโมยมาได้จาก AMD กว่า 450 GB

RansomHouse ได้บอกว่าข้อมูลที่ได้ขโมยไปนั้นเป็นข้อมูลเกี่ยวกับการวิจัย และข้อมูลทางการเงิน และข้อมูลนี้รวมถึง CSV ที่เผยแพร่ออกมา ซึ่งมีรายชื่อของอุปกรณ์กว่า 70,000 เครื่อง ที่ดูเหมือนจะเป็นเครือข่ายภายในของ AMD รวมถึงรายการ Corporate Credential ของ User ที่ตั้งรหัสผ่านไม่รัดกุม เช่น ‘password’ ‘P@ssw0rd’ ‘amd!23’ ‘Welcome1’ และพวกเขากำลังวิเคราะห์เพื่อกำหนดมูลค่าของข้อมูล

ต่อมา AMD ซึ่งเป็นบริษัทยักษ์ใหญ่ด้าน Semiconductor ผู้ผลิต CPU และการ์ดจอ โดย AMD ได้ออกมาระบุว่าพวกเขากำลังสืบสวนเกี่ยวกับข่าว และเหตุการณ์ที่อ้างว่ามีการโจมตี และได้โมยข้อมูลออกไปกว่า 450 GB โดยกลุ่ม RansomHouse ในครั้งนี้

RansomHouse ได้ให้ข้อมูลกับ BleepingComputer ว่า partner ของพวกเขาได้เริ่มการโจมตี AMD เมื่อประมาณหนึ่งปีที่แล้ว แต่สาเหตที่ในเว็บไซต์ของพวกเขาได้ระบุถึงการรั่วไหลของข้อมูลเป็นวันที่ 5 มกราคม 2565 นั้น เนื่องจากเป็นวันที่กลุ่มถูกตัดขาดการเข้าถึงเครือข่ายของ AMD

ในขณะที่ RansomHouse ถูกเชื่อมโยงเข้ากับกลุ่ม Ransomware อย่าง WhiteRabbit แต่พวกเขาระบุว่าการโจมตีครั้งนี้ไม่ได้มีการเข้ารหัสอุปกรณ์ และไม่ได้มีการใช้ Ransomware ในการโจมตี AMD และพวกเขาไม่ได้ติดต่อกับ AMD เพื่อเรียกค่าไถ่แต่อย่างใด เนื่องจากทางกลุ่มมองว่าเสียเวลาในการเจรจากับตัวแทนขององค์กร ซึ่งการขายข้อมูลให้กับหน่วยงานอื่น ๆ หรือผู้โจมตีอื่น ๆ นั้นใช้เวลาน้อยกว่ามาก และมีมูลค่ามากกว่า

RansomHouse นั้นเป็นกลุ่มที่ใช้ข้อมูลขององค์กรมาใช้ในการเรียกค่าไถ่แลกกับการไม่เผยแพร่ข้อมูลขององค์กรออกสู่สาธารณะ หรือขายให้กับผู้โจมตีรายอื่น ๆ ได้เริ่มปฏิบัติการเมื่อเดือนธันวาคม 2564 โดยมีเหยื่อรายแรกคือ Saskatchewan Liquor and Gaming Authority (SLGA) และยังพบว่ากลุ่มได้มีความเชื่อมโยงกับกลุ่ม White Rabbit Ransomware จาก Note ที่ทิ้งไว้หลังจากที่โจมตีเหยื่อตามภาพตั้งแต่เดือนธันวาคม 2564 ทาง RansomHouse ได้เพิ่มเหยื่ออีกห้ารายไปยังเว็บไซต์ Dataleak ของพวกเขา รวมถึง AMD ด้วย และอีกหนึ่งในเหยื่อเหล่านี้คือ Shoprite Holdings ที่เป็นเครือข่าย Supermaket ที่ใหญ่ที่สุดในแอฟริกา ซึ่งได้ยืนยันแล้วว่าถูกโจมตี เมื่อวันที่ 10 มิถุนายน 2565

แนวทางการป้องกัน

 ไม่เปิดอีเมล หรือไฟล์แนบจากผู้ส่งที่ไม่รู้จัก หรือดูน่าสงสัย
อัพเดตแพตช์บนระบบปฏิบัติการให้ล่าสุดเสมอ
อัพเดท Signature หรือเวอร์ชันของ Endpoint ให้เป็นปัจจุบัน
Backup ข้อมูลอย่างสม่ำเสมอ เพื่อป้องกันเหตุการณ์ที่เกิดขึ้นได้ในอนาคต
ติดตามข่าวสารอย่างใกล้ชิด

ที่มา : bleepingcomputer