.webp?w=696&resize=696,0&ssl=1 "Amd sev")
AMD, güvenli şifreli sanallaştırma (SEV) teknolojisinde, idari ayrıcalıklara sahip saldırganların kötü niyetli CPU mikrokod enjekte etmesine izin verebilecek yüksek şiddetli bir güvenlik açığı (CVE-2024-56161) açıkladı.
Bu kusur, sanallaştırılmış ortamlarda hassas iş yüklerini korumak için tasarlanmış bir güvenlik özelliği olan SEV-SNP tarafından korunan sanal makinelerin (VMS) gizliliğini ve bütünlüğünü tehlikeye atar.
Sorun, AMD CPU ROM Mikrokod Yama Yükleyicide uygunsuz imza doğrulamasından kaynaklanmaktadır.
Özellikle, mikrokod güncellemelerini doğrulamak için kullanılan güvensiz bir karma işlevi, yerel yönetici ayrıcalıklarına sahip rakiplerin imza kontrollerini atlamasını ve yetkisiz mikrokodları yüklemesini sağlar.
“AMD CPU ROM Mikrokod Yaması yükleyicide uygunsuz imza doğrulaması, yerel yönetici ayrıcalığına sahip bir saldırganın kötü niyetli CPU mikro kodu yüklemesine izin verebilir ve bu da AMD SEV-SNP altında çalışan gizli bir konuğun gizliliğini ve bütünlüğünü kaybedebilir”.
Güvenlik Açığını Anlamak
AMD SEV-SNP (Güvenli iç içe yazma), VM’leri hipervizörlerden izole etmeyi ve bellek yeniden ve yan kanal saldırılarına karşı korumayı amaçlayan gelişmiş bir güvenlik özelliğidir.
VM belleğini benzersiz tuşlarla şifreleyerek ve bellek bütünlüğü kontrollerini uygulayarak SEV-SNP, hassas veri işleme için güvenilir bir yürütme ortamı oluşturur.
Bununla birlikte, CVE-2024-56161, kötü amaçlı mikro kodun CPU işlevselliğini manipüle etmesine, potansiyel olarak şifreli VM verilerini açığa çıkarmasına veya ayrıcalık artışını sağlayarak bu korumaları baltalamaktadır.
Bu kusur, dünya çapında veri merkezlerinde kullanılan EPYC ™ sunucu CPU’larını güçlendiren Zen 1’den Zen 4 Mimarileri de dahil olmak üzere birçok nesildeki AMD işlemcileri etkiler.
Gizli bilgi işlem iş yükleri üzerindeki önemli potansiyel etkisini yansıtan 7.2 (yüksek) CVSS puanı taşır.
AMD, Google araştırmacıları Josh Eads, Kristoffer Janke, Eduardo Vela Nava, Tavis Ormandy ve Matteo Rizzo’ya bu kritik kusuru ortaya çıkardığı için teşekkür etti.
AMD, sorunu ele almak için AGESA ™ Platform başlatma paketleri aracılığıyla ürün yazılımı güncellemeleri yayınladı. Bu güncellemeler şunları içerir:
EV’lik ürün yazılımı güncellemeleri: Platformlar, uygun hafifletme için SEV ürün yazılımı sürümü 1.55.29 veya daha yüksek bir durum gerektirir.
BIOS güncellemeleri: Sistem BIOS görüntüleri yeni mikro kod ve ürün yazılımı değişikliklerini dahil etmek için güncellenmelidir. Güncellemeden sonra platformun yeniden başlatılması, SEV-SNP onaylamasına olanak tanır ve gizli konukların onaylama raporları aracılığıyla hafifletmelerin aktif olduğunu doğrulamalarını sağlar.
Özellikle, AMD bu güncellemelerden sonra sıcak yükleme mikrokodunda kısıtlamalar getirmiştir. Daha eski veya yetkisiz mikrokod yüklemeye çalışmak genel koruma (#GP) hatasına neden olacaktır.
AMD EPYC işlemcileri kullanan kuruluşlar, orijinal ekipman üreticileri (OEM’ler) tarafından sağlanan en son BIOS güncellemelerini derhal uygulamalıdır.
Etkilemelerin aktif olmasını sağlamak için SEV-SNP onay raporlarını düzenli olarak doğrulayın. Ayrıca, hassas iş yüklerini çalıştıran sistemlere idari erişimi kısıtlayın ve sömürü girişimlerini gösteren olağandışı faaliyetleri izleyin.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free