| 0 |
|
Функція Secure Encrypted Virtualization (SEV) серверних процесорів AMD менш безпечна, ніж випливає з її назви: дослідники Google виявили, що процесори EPYC недбало ставляться до перевірки підпису оновлень мікрокоду.
Оскільки такі оновлення мікрокоду глибоко втручаються у функції процесора, вони дають змогу проводити серйозні маніпуляції. Команда Google опублікувала доказ концепції (PoC), який руйнує інструкцію RDRAND: замість випадкового числа вона завжди повертає значення 4. Це послаблює криптографічні алгоритми, що використовують RDRAND. А це, своєю чергою, може бути використано для скасування вищезгаданого шифрування оперативної пам'яті SEV, яке використовується, зокрема, для безпечного поділу віртуальних машин (ВМ), що паралельно працюють на одному сервері, наприклад, для конфіденційних обчислень.
Сама компанія Google використовує AMD SEV (або SEV-SNP), наприклад, для синхронізації ключів доступу між різними пристроями користувачів Google, які увійшли в систему (Google Password Manager, GPM). Самі ключі не синхронізуються, а зберігаються в захищених анклавах на хмарних серверах.
Щоб впровадити маніпульоване оновлення мікрокоду в процесор EPYC, зловмисник повинен мати права адміністратора. Однак функції конфіденційних обчислень, як-от AMD SEV, Intel SGX/TDX або ARMv9-CCA, спрямовані на позбавлення адміністраторів доступу до захищених даних шляхом створення довірених середовищ виконання (TEE) із криптографічно перевіреним робочим станом, який перевіряють криптографічно (віддалена атестація).
Згідно з теорією, користувачі таких TEE повинні довіряти тільки виробнику відповідного процесора, який вбудовує ланцюжок підписів для віддаленої атестації у своє апаратне та мікропрограмне забезпечення. Оскільки ці функції безпеки такі важливі, над ними працює безліч експертів. Часто виявляються прогалини.
AMD описує «Уразливість конфіденційних обчислень SEV» у бюлетені безпеки AMD AMD-SB-3019, він також містить CVE-2024-56161. Ризик класифіковано як високий - 7,2 бала.
Відповідно, порушені серії EPYC 7001 (Naples), 7002 (Rome), 7003 (Milan/Milan-X) і 9004 (Genoa, Genoa-X, Bergamo, Siena).
Оновлення мікрокоду також можуть бути поширені на сервери через функції оновлення операційних систем. Однак для коректної роботи віддаленої атестації SEAV-SNP потрібні додаткові оновлення BIOS. AMD вже поширила їх серед виробників серверів і материнських плат у вигляді нових модулів прошивки AGESA. Деякі компанії вже надають оновлення BIOS:
Dell DSA-2025-040
HPE HPESBHF04783
Red Hat
За словами Supermicro, вона працює над цим.
Компанія Asus уже випустила оновлення BIOS наприкінці січня з посиланням на вразливість AMD Microcode Signature Verification Vulnerability.
Стратегія охолодження ЦОД для епохи AI
| 0 |
|
