2018年3月13日午後11時10分(太平洋標準時)更新:この脆弱性と、情報公開に至った疑わしい状況については、以前の記事「AMD Ryzen、EPYC CPUに13件のセキュリティ欠陥が存在(更新)」で解説しています。この関連記事は、個々の脆弱性に関する入門書として役立ちます。
昨年設立されたと思われるイスラエルの新しい「研究機関」CTS-Labsは、AMDのRyzenプロセッサに影響を与える4つのカテゴリー、Masterkey、Ryzenfall、Fallout、Chimeraを発見したと主張しました。(これは現在進行中のニュースであり、報告された脆弱性についてCTS-LabsとAMDの両方に連絡を取りました。新しい情報が入り次第、お知らせします。)
AMD PSP
AMD は、2013 年に「信頼できる実行環境」として Platform Security Processor (PSP) を自社のチップに組み込み始めました。これは、批判の多い Intel の Management Engine (ME) に似ています。
理論上、このチップはOSのマルウェアから隔離された安全な環境を構築するために存在します。しかし、批判的な人々は、IntelのMEと同様に、ユーザーに知られることなくバックドアとして利用される可能性があると指摘しています。PSPが何らかの理由で悪意のあるコードを実行した場合、このチップはOSの下位層に存在するため、OSの保護を回避できる可能性があります。
昨年、AMDの顧客とプライバシー活動家は、AMDに対しPSPのソースコードの公開を求める嘆願書を作成しました。しかし、AMDはPSPファームウェアを近い将来オープンソース化する計画はないと述べています(35分)。
同社はまた、AMDがPSPの脆弱性を検査するために雇った他のサードパーティセキュリティ企業による複数の監査をすでに完了しており、同社の一部の企業顧客はコプロセッサの独自の監査を実施していると付け加えた。
今年初めに PSP のセキュリティ上の欠陥が明らかになりましたが、その後、人々の注目はすぐに Meltdown と Spectre に移りました。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
マスターキーの脆弱性
CTSによると、Masterkeyクラスの脆弱性により、攻撃者はAMDのハードウェア検証済みブート機能を回避し、AMDのRyzenおよびEPYCチップシリーズに搭載されているPSPコプロセッサを悪用することが可能になるという。Ryzen ProおよびRyzen Mobileチップも影響を受ける可能性があるが、研究者らはこれらのチップをテストしていない。
これらの欠陥により、AMD の PSP 上でコード実行とマルウェアの永続化が可能になり、最高権限のカーネルモードで実行され、市場のほぼすべてのセキュリティ ソリューションから隠されたままになると思われます。
CTS-Labsのレポートによると、マスターキーの脆弱性は、AMDのファームウェアベースのセキュリティ機能(Secure Encrypted Virtualization(SEV)やFirmware Trusted Platform Module(fTPM)など)の改ざんも可能にする可能性がある。Windows Credential Guardの保護機能もバイパスされ、認証情報の盗難が可能になる可能性がある。攻撃者は、マスターキーの脆弱性を利用してランサムウェアをインストールしたり、ハードウェアを破壊したりすることさえ可能だ。
Ryzenfallの設計と実装の欠陥
Ryzenfallのバグは、PSP上で動作するAMDの「セキュアOS」における設計および実装上の欠陥です。CTS-Labsによると、これらの欠陥により、攻撃者はRyzen、Ryzen Pro、およびRyzen MobileプロセッサのPSPを完全に制御できる可能性があります。PSPは、SMRAMやWindows Credential Guardの分離メモリなど、保護されたメモリ領域の読み書きに悪用される可能性があります。
CTSの研究者によると、攻撃者はこれらの脆弱性を利用してネットワーク認証情報を盗み出し、高度にセキュリティ保護された企業ネットワークにもアクセスできるようになる可能性がある。悪意のある攻撃者は、RyzenfallとMasterkeyを組み合わせて使用することで、長期的なスパイ活動を目的として永続的なマルウェアをインストールする可能性がある。
フォールアウトの設計上の欠陥
Fallout の脆弱性は、EPYC の PSP プロセッサのブートローダーコンポーネントに存在します。このブートローダーは、EPYC サーバーチップのハードウェア検証ブート(HVB)の実行と、EPYC チップの新しいセキュリティ機能である Secure Encrypted Virtualization(SEV)用の PSP モジュールの起動を担っています。
これらの脆弱性により、攻撃者はシステム管理RAM(SMRAM)やWindows Credential Guard分離メモリ(VTL-1)などの保護されたメモリの読み取りと書き込みを行うことができる可能性があります。また、低レベルのハードウェア制御に使用されるシステム管理モード(SMM)に実装されているBIOSフラッシュ保護をバイパスすることも可能になります。
キメラバックドア
おそらく、これらのバグの中で最も深刻なのは、通常のソフトウェアの脆弱性や設計上の欠陥ではなく、AMDのRyzenがAMD独自の「Promontory」ブランド名で使用しているASMediaのチップセットに見られるファームウェアとハードウェアのバックドアそのものなのかもしれません。ASMediaの親会社はASUSです。
Chimeraメーカーのバックドアは、攻撃者がRyzenチップセットに悪意のあるコードを挿入することを可能にします。チップセットはCPUをUSB、SATA、PCIeデバイスに接続します。攻撃者は、チップセットの中間者的な役割を利用してCPUへの攻撃を仕掛ける可能性があります。
CTSは、チップセットベースのマルウェアは、市販されているあらゆるエンドポイントマルウェア対策ソリューションを回避できる可能性があると述べています。チップセット上で実行されるマルウェアは、ダイレクトメモリアクセス(DMA)エンジンを利用してオペレーティングシステムを攻撃する可能性があります。研究者たちは、これらのバックドアのうち1つがハードウェアベースであることを考えると、AMDがチップのリコールなしにこれらのバックドアを緩和できるとは考えていません。
CTS-Labsは、AMDがこれらの脆弱性を修正する前に悪意のある攻撃者が悪用を開始するのを防ぐため、脆弱性の仕組みについてあまり詳細を明らかにしていません。また、CTS-Labsは資料を公開する24時間前にAMDに通知しただけでした。
セキュリティ研究者らは、これらの脆弱性が既に悪用されているかどうかは不明であるものの、ASMediaチップセットに発見されたChimeraファームウェアとハードウェアバックドアについては懸念を抱いていると述べています。彼らは報告書の中で、AMDプロセッサにこれらの重大な欠陥が存在するのは、AMDが基本的なセキュリティ原則を無視していることに起因すると結論付けています。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
