Головна » Технології / Новини ІТ » Процесори AMD під загрозою: нова уразливість не має виправлення

Група дослідників з Корнельського університету показала, як просто підсадити жучок на материнську плату з процесорами AMD всіх актуальних поколінь. Дешеве обладнання дозволяє обдурити, вбудований в процесори, ARM-блок безпеки AMD Secure Processor і взяти комп’ютер і потоки даних під повний контроль. Програмних патчів для усунення цієї уразливості немає і не буде. Необхідно змінювати саму архітектуру AMD Secure Processor. Між іншим, нещодавно стало відомо, що компанія Gigabyte стала жертвою хакерів, які також отримали дані Intel, AMD та American Megatrends.




Представлений варіант уразливості не несе небезпеки для більшості звичайних користувачів, але створює загрозу для хмарних провайдерів і великих організацій. Для її реалізації потрібен фізичний доступ до материнських плат, що має технічний персонал. Особливо неприємно, що програмними засобами визначити жучок не вийде. Він не використовує експлойти або інші механізми шкідливого програмного забезпечення. Сервер відразу переходить під контроль зловмисника аж до підробки всієї внутрішньої телеметрії.

Виявлена ​​уразливість реалізується за допомогою керованого збою живлення блоку безпеки AMD Secure Processor в складі процесора AMD Zen, Zen 2 або Zen 3. Зловмисник підключає свій контролер до шини регулятора напруги, який керує живленням процесора, і до лінії скидання процесора з живлення. Після налаштування, контролер автоматично ініціює стрибки напруги на шині живлення регулятора напруги. Завдяки цьому, при вдалому для зловмисника результаті, блок AMD Secure Processor сприймає підробний ключ довіреним і дозволяє процесору завантажити модифіковану прошивку, підписану цим ключем. Якщо цього не відбувається, то контролер направляє сигнал на скидання процесора з живлення і все починається знову, поки ключ зловмисника не буде визначений як довірений. Стверджується, що ця техніка спрацьовує завжди, хоча час очікування може коливатися від декількох хвилин до години.

За словами дослідників, представлена ​​методика збільшує час завантаження сервера, і це можна помітити. Але для корпоративних систем з величезним обсягом пам’яті така зміна здатна вислизнути від уваги адміністраторів. Щоб захиститися від цієї загрози, компанії AMD необхідно вбудувати у свій блок безпеки Secure Processor механізми для захисту від маніпуляції напругою. В іншому випадку сервери на процесорах AMD будуть залишатися уразливими.

Якщо Ви знайшли помилку, будь ласка, виділіть фрагмент тексту та натисніть Ctrl+Enter.
Поділитися:
Правила коментування

Вітаємо Вас на сайті Pingvin Pro. Ми докладаємо всіх зусиль, аби переконатися, що коментарі наших статей вільні від тролінгу, спаму та образ. Саме тому, на нашому сайті включена премодерація коментарів. Будь ласка, ознайомтеся з кількома правилами коментування.

  1. Перш за все, коментування відбувається через сторонній сервіс Disqus. Модератори сайту не несуть відповідальність за дії сервісу.
  2. На сайті ввімкнена премодерація. Тому ваш коментар може з’явитися не одразу. Нам теж інколи треба спати.
  3. Будьте ввічливими – ми не заохочуємо на сайті грубість та образи. Пам’ятайте, що слова мають вплив на людей! Саме тому, модератори сайту залишають за собою право не публікувати той чи інший коментар.
  4. Будь-які образи, відкриті чи завуальовані, у бік команди сайту, конкретного автора чи інших коментаторів, одразу видаляються. Агресивний коментатор може бути забанений без попереджень і пояснень з боку адміністрації сайту.
  5. Якщо вас забанили – на це були причини. Ми не пояснюємо причин ані тут, ані через інші канали зв’язку з редакторами сайту.
  6. Коментарі, які містять посилання на сторонні сайти чи ресурси можуть бути видалені без попереджень. Ми не рекламний майданчик для інших ресурсів.
  7. Якщо Ви виявили коментар, який порушує правила нашого сайту, обов’язково позначте його як спам – модератори цінують Вашу підтримку.

Схожі новини

Новини ІТ

Twitter підтверджує витік даних понад 5.4 млн користувачів

Соціальна мережа Twitter підтвердила витік даних понад 5.4 млн користувачів. Він стався в грудні 2021 року через уразливість у системах соцмережі. Компанія вже виправила вразливість. Підписуйтесь на наш Telegram-канал Згідно з офіційною заявою компанії, вразливість дозволяла будь-кому отримати доступ до відповідного облікового запису Twitter, якщо такий є, шляхом надсилання адреси електронної пошти або номера телефона. […]


Новини ІТ

Підвищення цін на процесори Intel відбудеться у 2022 році

Нещодавно компанія Intel оголосила про різке підвищення цін на всі свої продукти. Процесори отримають збільшення від 10% до 20% залежно від моделі. Це має відбутися з цієї осені у відповідь на високу інфляцію, яка вплинула на весь світ. Щодо інших компонентів, очікується, що збільшення цін буде не настільки високим, як на процесори. Підписуйтесь на наш […]


Повідомити про помилку

Текст, який буде надіслано нашим редакторам: