⚡ Помогли закрыть опасную уязвимость в процессорах AMD Исследователь PT ESC Тимофей Дудицкий обнаружил опасную уязвимость в линейках процессоров AMD EPYC, Ryzen, EPYC и Ryzen Embedded. Недостаток затронул 56 моделей чипов, включая бюджетные Athlon 3000, Ryzen 5000 и Ryzen 6000 с графикой Radeon. Под угрозой были как обычные пользователи, так и бизнес, и госучреждения по всему миру. В случае успешной атаки злоумышленники могли бы подолгу оставаться незамеченными, перемещаться по корпоративной сети, следить за жертвой и похищать чувствительные данные. Обнаруженная уязвимость PT-2026-33168 получила 7,1 балла по шкале CVSS 4.0 — это высокий уровень опасности. Мы уведомили AMD о проблеме, после чего компания выпустила обновление микропрограммного обеспечения. Разбираемся, в чем была проблема 🧐 Тимофей обнаружил недостаток в прошивке материнских плат (UEFI) — в драйвере SMM, отвечающем за работу соцсетей компонента AMD Platform Configuration Blob. Производитель недостаточно защитил наиболее привилегированный режим работы процессора — System Management Mode (SMM), который используется для управления платформой, ее питанием, безопасностью и другими функциями. Уязвимость вызвана возможностью некорректного использования службы загрузки в уязвимом драйвере. Этот сервис ни при каких условиях не должен применяться в данном режиме работы процессора. Подобные ошибки обычно появляются либо на этапе разработки ПО, либо после обновлений компонентов, если код недостаточно протестирован или проверен. Как могла выглядеть атака 👾 Поскольку уязвимые чипы широко распространены — от домашних ноутбуков до оборудования в дата-центрах — угроза была крайне серьезной. Потенциальный злоумышленник мог проводить атаки либо находясь рядом с устройством физически, либо локально, имея доступ к системе. Для полноценной эксплуатации требовалось одно из двух условий: 1⃣ Успешная реализация цепочки эксплойтов. Наиболее опасный сценарий мог возникнуть при локальном применении уязвимости: нарушителю пришлось бы обойти протокол Secure Boot, дополнительно найти и проэксплуатировать уязвимость, позволяющую читать и записывать память в режиме SMM, а затем воспользоваться PT-2026-33168 для внедрения вредоносного кода, например бэкдора. При физическом доступе для успешной атаки было бы достаточно только дополнительной уязвимости для чтения и записи памяти. 2⃣ Неправильно заданные параметры производителем при настройке материнской платы. Например, вендор мог выбрать некорректную конфигурацию защиты области памяти, в которой расположен режим SMM. Если бы злоумышленники успели воспользоваться уязвимостью, обычные пользователи не смогли бы заметить по каким-либо признакам, что в прошивку материнской платы был добавлен нелегитимный модуль, выполняющий вредоносные команды. При захвате корпоративных узлов атакующие получили бы практически полную свободу действий: они оставались бы невидимыми для большинства защитных средств и могли продолжать вредоносную активность даже после переустановки ОС. Как защититься 🙆‍♂ AMD уже выпустила обновление драйвера — его необходимо установить как можно скорее и следовать рекомендациям вендора. Если установить обновление не удается, Тимофей советует включить безопасную загрузку, которая защищает ОС от запуска вредоносного кода еще до старта системы, а также внимательно следить за рабочим местом и USB-разъемами, не допуская подключения ненадежных или подозрительных флеш-накопителей. Больше подробностей об уязвимости — в материале на нашем сайте: https://vk.cc/cYcjPB #PositiveTechnologies