محققان گوگل قفل پردازنده‌های AMD را شکستند

گروهی از پژوهشگرهای گوگل یک نقص امنیتی بزرگ را در پردازنده‌های Zen شناسایی کرده است که امکان اجرای Microcode دلخواه یا دستکاری شده را روی پردازنده‌ می‌دهد. این به معنای آن است که هر فردی اکنون می‌تواند پردازنده AMD خود را به‌اصطلاح «جیلبریک» کند.

این نقص، که  EntrySign نام‌گذاری شده است، تمامی پردازنده‌های AMD مبتنی بر ریزمعماری‌های Zen 1 تا Zen 4 را تحت تأثیر قرار می‌دهد. AMD به‌سرعت یک به‌روزرسانی BIOS برای برطرف کردن این آسیب‌پذیری منتشر کرد، اما پردازنده‌هایی که BIOS آن‌ها قبل از 17 دسامبر 2024 (27 آذر 1403) به‌روزرسانی شده باشد، همچنان در معرض خطر هستند. هرچند سوء استفاده از این آسیب‌پذیری نیاز به مجوزهای ادمین سیستم و دسترسی فیزیکی به آن دارد، اما کاربران و سازمان‌ها برای جلوگیری از هرگونه تهدید احتمالی باید سیستم‌های خود را به جدیدترین نسخه BIOS موجود آپدیت کنند.

نقص امنیتی EntrySign چگونه کار می‌کند؟

میکروکد، لایه‌ای پایین‌دست از دستورالعمل‌ها است که چگونگی کارکرد پردازنده را تعیین می‌کند. AMD و Intel به‌جای استفاده از میکروکدهای دائمی در زمان تولید، سیستم‌هایی برای به‌روزرسانی آن در زمان نیاز دارند تا در صورت کشف آسیب‌پذیری، مشکل را برطرف کنند.

اما EntrySign این امکان را فراهم می‌کند که کاربران بتوانند میکروکدهای کاستوم خود را روی پردازنده‌های Zen 1 تا Zen 4 اجرا کنند. این تغییر می‌تواند به دسترسی به بافرهای داخلی CPU، تغییر سطح امنیت ماشین‌های مجازی (VMs) و حتی تغییرات گسترده‌تر منجر شود. در ابتدا، گزارش AMD بیشتر بر پردازنده‌های سرور EPYC و تأثیر این آسیب‌پذیری بر امنیت ارتباطات از راه دور متمرکز بود، اما تحقیقات جدید نشان داده که این نقص تمامی پردازنده‌های Zen را تحت تأثیر قرار داده و کارکردهای آن از دستکاری لینک‌های امن بسیار فراتر می‌رود.

برای اجرای به‌روزرسانی‌های میکروکد، AMD از یک سیستم تأیید مبتنی بر کلیدهای رمزنگاری‌شده استفاده می‌کند. این فرایند به امضای دیجیتال AMD وابسته است تا از نصب آپدیت‌های میکروکد غیرمجاز جلوگیری کند. اما محققان گوگل دریافتند که AMD از تابع رمزنگاری AES-CMAC به‌عنوان یک تابع هش استفاده کرده است، درحالی‌که این استفاده خارج از استانداردهای معمول محسوب می‌شود. این مسئله باعث شد که محققان بتوانند کلیدهای امنیتی را مهندسی معکوس کرده و مکانیزم تأیید امضای دیجیتال را دور بزنند.

جالب‌تر اینکه، AMD در فرآیند رمزنگاری خود از یک کلید نمونه که به‌صورت عمومی توسط NIST منتشر شده بود، استفاده کرده است. این اقدام، کار تیم گوگل را در کشف و بهره‌برداری از این آسیب‌پذیری بسیار آسان‌تر کرده است.

گوگل کیتی منتشر کرده است که به کاربران امکان می‌دهد میکروکدهای کاستوم خود را روی پردازنده‌های AMD اجرا کنند. با این حال، یک نکته مهم این است که میکروکدهای بارگذاری‌شده پس از هر بار راه اندازی دوباره سیستم از بین می‌روند و این باعث می‌شود که آزمایش‌های انجام‌شده در بیشتر موارد بدون خطر دائمی باشند.

بااین‌حال، اگر یک مهاجم با دسترسی بالا به سیستم بتواند از این آسیب‌پذیری استفاده کند، ممکن است بتواند کنترل کاملی بر نحوه اجرای دستورات پردازنده داشته باشد، امنیت سیستم را تضعیف کند و به داده‌های حساس دسترسی پیدا کند.

برای جلوگیری از هرگونه سوءاستفاده از این آسیب‌پذیری، کاربران پردازنده‌های AMD باید BIOS مادربرد سیستم خود را به جدیدترین نسخه منتشرشده پس از 17 دسامبر 2024 به‌روزرسانی کنند.

درحالی‌که برای کاربران معمولی، این نقص ممکن است جذابیت‌های فنی داشته باشد، اما از نظر امنیتی، یک چالش جدی برای سازمان‌ها و مراکز داده محسوب می‌شود. محققان امنیتی توصیه می‌کنند که مدیران IT هرچه سریع‌تر سیستم‌های خود را بررسی و در صورت نیاز، به‌روزرسانی کنند.