Secondo i ricercatori in sicurezza che hanno lanciato l’allarme questo martedì, alcuni processori AMD — azienda statunitense leader mondiale nella produzione di microprocessori per il mercato consumer —, contengono vulnerabilità “critiche,” oltre a backdoor che sarebbero state istallate nei sistemi affidati a produttori terzi da AMD. Le 13 diverse vulnerabilità sono state scoperte nell’AMD Secure Processor, che è utilizzato nelle CPU EPYC e Ryzen. Questi bug permetterebbero agli hacker che hanno già preso possesso di un computer di installare malware persistenti e difficili da rilevare, avvertono i ricercatori.
CTS Labs, un’azienda di sicurezza hardware stanziata a Tel Aviv, ha annunciato le vulnerabilità su un sito creato appositamente e in una serie di video pubblicati martedì. L’azienda ha anche pubblicato un white paper che spiega le vulnerabilità senza includere tutti i dettagli tecnici.
Videos by VICE
Tra le affermazioni più esplosive del white paper c’è l’idea che esista “una serie di backdoor nascoste all’interno dei chipset Promontory di AMD” e che “i chipset Ryzen e Ryzen Pro, attualmente in vendita con backdoor potenzialmente sfruttabili, non avrebbero dovuto superare nemmeno la più grossolana revisione di sicurezza white-box.”
”Non c’è niente di peggio nel mondo della sicurezza.”
Il documento sostiene che le backdoor siano state installate dal produttore taiwanese ASMedia, sussidiaria di ASUSTeK, che è stata multata di recente dalla FTC per aver ignorato delle vulnerabilità hardware. Le backdoor “[sollevano] dubbi sulle pratiche di sicurezza, di revisione e controllo qualità ad AMD,” scrivono i ricercatori.
“È grave, gravissimo. Non c’è probabilmente niente di peggio nel mondo della sicurezza,” ha detto a Motherboard per telefono Ido Li On, CEO di CTS Labs.
ASMedia non ha risposto immediatamente alla nostra richiesta di commento.
Ma il modo in cui le accuse sono state rese pubbliche ha scatenato una controversia nella comunità: secondo alcuni esperti, CTS Labs non ha dato abbastanza tempo ad AMD per lavorare a una patch e mitigare i problemi.
Tutte e 13 le vulnerabilità sono sfruttabili, stando a Dan Guido, fondatore dell’azienda di sicurezza Trail of Bits, i cui ricercatori hanno revisionato e testato il codice prima della pubblicazione.
“Ognuna di loro funziona come descritto,” mi ha detto Guido per telefono.
È importante notare che per gli hacker è necessario, in ognuno dei 13 casi, penetrare un computer e ottenere privilegi amministrativi prima di tutto — magari con un attacco di phishing, che spinge la vittima a eseguire un’applicazione maligna —, stando ai ricercatori di CTS e Guido.
Il che significa che si tratta di vulnerabilità “di seconda fase,” che permetterebbero agli hacker di muoversi da computer a computer dentro la stessa rete, o installare malware direttamente nel processore, dove non sono visibili a un software di sicurezza. A quel punto, l’hacker potrebbe spiare il proprio obiettivo indisturbato.
“Rende un compromesso già pessimo ancora peggiore,” ha detto Guido.
Li On ha spiegato che una delle vulnerabilità, quella ribattezzata Ryzenfall 4, può essere sfruttata per installare malware persistenti direttamente nel processore. Altre, invece, potrebbero essere usate per penetrare nel kernel, il nucleo del sistema operativo, ha aggiunto.
Quei malware “sarebbero molto difficile da rimuovere, fuori portata per la sicurezza degli endpoint e in pratica avrebbero pieno controllo,” ha detto Li On.
“La natura stessa di alcune di queste vulnerabilità equivale al completo disprezzo per i principi fondamentali della sicurezza,” hanno scritto i ricercatori.
CTS Labs ha detto di aver avvisato dei problemi AMD, così come altre aziende che usano i processori vulnerabili per i cloud service tipo Microsoft, prima di fare l’annuncio pubblico. Li On e il CTO di CTS Labs, Yaron Luk-Zilberman hanno detto che i ricercatori hanno inviato i dettagli dei difetti ad AMD, compreso il codice sorgente per gli exploit di conferma e altra documentazione, prima di pubblicare.
Li On e Luk-Zilberman non hanno voluto specificare ulteriormente la natura dell’avviso, solo che era “molto recente.”
“Rende un compromesso già pessimo ancora peggiore.”
Nella comunità di esperti, c’è chi ha criticato la decisione di dare un preavviso così breve a AMD prima di pubblicare le informazioni. Ma i due hanno difeso la decisione definendola “di interesse pubblico.”
“Vogliamo che il pubblico sia al corrente di questi difetti, ma non abbiamo divulgato dettagli tecnici e non lo faremo mai,” ha detto Luk-Zilberman al telefono.
AMD non ha risposto immediatamente alla nostra richiesta di commento, ma ha detto a CNET che “la sicurezza è una priorità assoluta e lavoriamo costantemente per assicurare che i nostri utenti siano sempre al sicuro. Stiamo indagando su queste informazioni, che abbiamo appena ricevuto, per capire la metodologia e il merito della scoperta.”
Un portavoce di Microsoft ha dichiarato: “Il report è stato sottoposto alla nostra attenzione di recente e stiamo verificando le informazioni.”
Questi difetti nei processori AMD emergono solo tre mesi dopo che alcuni ricercatori hanno rivelato bug gravissimi in alcuni dei processori Intel, chiamati Spectre e Meltdown. Questi bug hanno costretto Intel — così come alcuni grossi cloud provider che si appoggiano a server Intel — a spingere per soluzioni e patch che a volte rallentavano le prestazioni dei processori.
Alcuni dei nuovi problemi saranno difficili da risolvere con una patch, e hacker maligni con le competenze necessarie potrebbero trovare il modo di sfruttarli, stando a Guido. Ma l’utente medio non dovrebbe preoccuparsi troppo. I problemi veri, ha detto, riguardano più i provider e le grosse imprese.
Questo articolo è apparso originariamente su Motherboard US.