De AMD ‘Zenbleed’-bug kan worden misbruikt om wachtwoorden van Ryzen-CPU’s te lekken

Er is een nieuw beveiligingslek ontdekt dat van invloed is op AMD’s Zen 2-processorlijn – waaronder populaire CPU’s zoals de budgetvriendelijke Ryzen 5 3600 – die kan worden misbruikt om gevoelige gegevens zoals wachtwoorden en coderingssleutels te stelen. Google-beveiligingsonderzoeker Tavis Ormandy heeft de “Zenbleed”-bug (geregistreerd als CVE-2023-20593) op zijn blog Deze week nadat de kwetsbaarheid op 15 mei voor het eerst aan AMD werd gemeld.

De hele Zen 2-productfamilie wordt getroffen door het beveiligingslek, inclusief alle processors binnen de AMD Ryzen 3000/4000/5000/7020-serie en Ryzen Pro 3000/4000-serie, en AMD’s EPYC “Rome” datacenterprocessors. Sindsdien AMD gepubliceerd Het verwachte releaseschema om de kwetsbaarheid te patchen, waarbij de meeste firmware-updates pas later dit jaar worden verwacht.

volgens WolkenflairDe Zenbleed-exploit vereist geen fysieke toegang tot de computer van een gebruiker om zijn systeem aan te vallen, en kan zelfs op afstand worden uitgevoerd via Javascript op een webpagina. Als de exploit met succes is geïmplementeerd, kunnen gegevens worden overgedragen met een snelheid van 30 kilobytes per kern per seconde. Dat is volgens Ormandy snel genoeg om gevoelige gegevens te stelen van alle software die op het systeem draait, inclusief virtuele machines, sandboxes, containers en processen. leuk vinden Toms Opgemerkt wordt dat de veerkracht van deze exploit een bijzonder punt van zorg is voor in de cloud gehoste services, omdat het kan worden gebruikt om gebruikers binnen cloudinstanties te bespioneren.

Erger nog: Zenbleed kan onder de radar vliegen omdat er geen speciale systeemaanroepen of privileges voor nodig zijn. “Ik ben niet op de hoogte van betrouwbare technieken voor het detecteren van exploits”, zei Ormandy. De bug deelt enkele overeenkomsten met de Spectre-klasse van CPU-kwetsbaarheden in die zin dat het de fout in speculatieve implementaties gebruikt, maar veel gemakkelijker te implementeren is – waardoor het dichter bij de Meltdown-familie van kwetsbaarheden komt. De volledige technische storing met betrekking tot de Zenbleed-kwetsbaarheid is te vinden op Ormandy-blog.

AMD heeft al een microcode-patch uitgebracht voor de tweede generatie Epyc 7002-processors, hoewel de volgende updates voor de resterende CPU-lijnen op zijn vroegst in oktober 2023 worden verwacht. Het bedrijf heeft niet bekendgemaakt of deze updates de systeemprestaties zouden beïnvloeden, maar AMD heeft een verklaring verstrekt Toms Er wordt gesuggereerd dat het mogelijk is:

Elke prestatie-impact is afhankelijk van de werkbelasting en de systeemconfiguratie. AMD is niet op de hoogte van enig bekend misbruik van de beschreven kwetsbaarheid buiten de onderzoeksomgeving.

Ormandy raadt getroffen gebruikers ten zeerste aan om de AMD-microcode-update toe te passen, maar heeft op zijn blog ook instructies gegeven voor een softwarematige oplossing die kan worden geïmplementeerd terwijl ze wachten tot leveranciers een oplossing in toekomstige BIOS-updates opnemen. Ormandy waarschuwt dat deze oplossing ook de systeemprestaties kan beïnvloeden, maar het is in ieder geval beter dan te moeten wachten op een firmware-update.