AMD: Microcode Signature Verification Vulnerability

Bug

A grsecurity csapat hívta fel a figyelmet a Google Security Team által fogott AMD mikrokód kezelési sérülékenységre:

A Google Biztonsági Csapata biztonsági sebezhetőséget azonosított néhány AMD Zen alapú processzorban. Ez a sebezhetőség lehetővé teszi, hogy egy támadó, aki helyi rendszergazdai jogosultságokkal rendelkezik, rosszindulatú mikrokód-patcheket töltsön be (a kihasználásához a felhasználónak rendszergazdai jogosultsággal kell rendelkeznie egy VM-en kívül).

[...]

A Google 2024. szeptember 25-én értesítette az AMD-t a sérülékenységről. Az AMD 2024. december 17-én embargó alá eső javítást biztosított ügyfeleinek. Az AMD-vel való koordinálás érdekében a Google egyedi kivételt alkalmazott a szokásos sérülékenység-közlési irányelvéből, és a nyilvános bejelentést 2025. február 3-ára tolta. A közlemény 46 nappal az AMD javításának megosztása után és 131 nappal a Google eredeti jelentése után történt. A részletek 2025. március 5-én lesznek közzétéve.

Részletek itt.

( ricsip v | 2025. 02. 04., k – 18:55 )

Gugli milyen jófej, h. kivételesen hagyott 130 nap for-t az amd-nek. Hogy az ügyfeleknek is legyen 40 napjuk peccselni és tesztelni. Nem ám azért, mert fut egy csilliárd epyc a datancenterjeikben sajátmaguknak is, és hát csak nem szarnak a saját portájuk elé.

Bezzeg ha xeon-ban lenne hasonló bug, még aznap publikálták volna :)

Maradjunk annyiban h. valószínűleg guglinak most fájt vóna házon belül h. a nagy batár epyc rendszereik is érintettek voltak. Ezért nagy kegyesen behazudták h. a "közjó érdekében" halasztják a nyilvánosságra hozatalt, csak hogy be tudják fejezni a sepregetést a saját házuk táján. Szarnak azok a közjóra. Amikor nekik fáj, akkor látszatjótékonykodnak.

Nem védem a mikroszoftot, mert egy ugyanolyan tetű szarházi banda mint a google (msrc posztok jönnek tömegével a szeku riszörcsölőktől, hogyan nullázzák le a fejpénzüket mindenféle kamu indokokkal, miután megkapták a lényeges infót). De a projectzero is ugyanekkora álszent fasz banda. Mennyivel nagyobb az érintettsége a föld teljes IT állományát tekintve egy RCE windows szerver bugnak, vs egy konkrét epyc családot érintő bugnak? Aztàn az amd-vel kivételezgetnek, a mikroszoftnak meg odaszúrnak amikor csak tudnak.

Úgy érted egy olyan "konkrét epyc családot érintő bugnak", amihez ring 0 from outside a VM jogosultság kell? Lehet hogy félreértek valamit, de nekem nem úgy tűnik, hogy ez olyasmi, amit egy shodannal felfegyverkezett scriptkiddie hamar ki tudna használni. Értem ez alatt azt, hogy most nem dobnám el a kávémat, hogy úristenazonnal.

A működő felelős közlés - 90 napos szabály, embargózott részletek, nyomásgyakorlás a vendorokra, P0 csapat stb. -, aminek a kidolgozója a Google volt, erről szól. Ez nem szívesség az AMD-nek, mással is így járnak el.

https://googleprojectzero.blogspot.com/p/vulnerability-disclosure-faq.h…

trey @ gépház

Nem a 90 napos határidő az engedmény. Hanem ha nekik úgy hozza a saját érdekük, akkor meghosszabbítják. Ameddig csak kell. Ha meg a mikroszoft orra alá kell szarni, akkor időzítve van a már megírt cikk publikáló szkript h. 90nap0mp után automatikusan teregesse a szennyest. Hiába kommunikál velük a mikroszoftos bagázs h. lécci még 10 napig tartsátok a szátokat mert nem értünk a végére a melónak.

Aztán persze lehet h. csak én olvastam ki ezt a történetből, mert nagyon kiszúrtam azt az elejtett fél mondatocskát a szövegben h. kivételesen meghosszabbították a szokásos sztenderd határidejüket.

Due to the deep supply chain,

Azért itt egy csomó már legyártott, úton, raktárban, OEM-eknél készleten és összeépítés alatt levő alaplapon kell BIOS-t frissíteni, nem teljesen ugyanaz a helyzet, mintha mindenkinek csak le kellene töltenie egy frissítést a OS-e gyártójától.

trey @ gépház

Hat, pedig pontosan az a helyzet, hogy mindenkinek le kell tolteni egy frissitest a gyartotol... IT-ben ez miert olyan meglepo?
Nem mellesleg pl DELL+windows eseten az FW upgrade jon a windo'zfrissitessel. Tudod, az OS... Szoval van erre ertelmes megoldas is :)
Ahol meg ezres nagysagrendben kell frissitgetni, ott legyen pe'z remote management licenszre, amivel ez egy szinten ket kattintasos muvelet...

ki nem szarja le, hogy oem gyarto. valaki frissiteni fog, vagy ok, vagy az ugyfel.
te barmilyen ceget belulrol lattal mar-e? siman beleirjak valamelyik letoltesuk melle a dokumentacioba a tizenhatodik oldal apro betuk koze, hogy "paraszt, ha felbasszak a geped, mert nem frissitetted a biost, az a sajat sarad". sot, meg a garit is megvonjuk... es el is van intezve. :)
https://www.tomshardware.com/news/asus-responds-to-negative-press-aroun…

ki nem szarja le, hogy oem gyarto. valaki frissiteni fog, vagy ok, vagy az ugyfel.

Nem. A normális OEM gyártó az ügyfélnek már hibátlan rendszert szállít le.

te barmilyen ceget belulrol lattal mar-e?

Sőt, mi OEM System Builder-ek is voltunk/vagyunk.

siman beleirjak valamelyik letoltesuk melle a dokumentacioba a tizenhatodik oldal apro betuk koze, hogy "paraszt, ha felbasszak a geped, mert nem frissitetted a biost, az a sajat sarad". es el is van intezve. :)

Hogyne. :D

trey @ gépház

mi nem tetszik a valosagon? :) olvasd el a cikket :)
hint: mar 15+ eve is ha bekuldtel a HW-reportot az OEM-ednek, azzal kezdodott a sztori, hogy vagy up2date a bios/FW-d, vagy gyere vissza a riportoddal, ha mar az. :) hogy ez teged meglep, so life.
az oem 0 felelosseget fog vallalni neked barmilyen regi biosbol (insert any software here) adodo dolog eseten. nullat.

ha az upstream nem adja aki a bios frissitest, akkor osszehekkeltek egyet a sufniban? :D hogy koll ezt elkepzelni feletek? :)
mutasd a szerzodesetek reszletet, ahol felelosseget vallaltok a regi bios (insert any software here) miatt tortent biztonsagi incidens vagy hardverhiba miatti karokra, szivesen megnezem! mert addig bizony csak mondogatsz szepeket :) (mese habbal)

ha az upstream nem adja aki a bios frissitest

Fogalmam sincs, hogy ezt honnan szívtad, már módosítod a feltételeket? Mi az, hogy nem adja ki a javítást? Kiadták. Azért embargózták a sérülékenység részleteit, hogy a supply chain-en végig lehessen verni anélkül, hogy elkezdenék kihasználni. Olvasd már el mit írtak:

Google notified AMD of this vulnerability on September 25, 2024. AMD subsequently provided an embargoed fix to its customers on December 17, 2024. To coordinate with AMD, we made a one-off exception to our standard vulnerability disclosure policy and delayed public disclosure until today, February 3, 2025. This joint disclosure occurs 46 days after AMD shared the fix with its customers and 131 days after Google's initial report. Due to the deep supply chain, sequence and coordination required to fix this issue, we will not be sharing full details at this time in order to give users time to re-establish trust on their confidential-compute workloads. We will share additional details and tools on March 5, 2025.

mutasd a szerzodesetek reszletet, ahol felelosseget vallaltok a regi bios (insert any software here) miatt tortent biztonsagi incidens vagy hardverhiba miatti karokra, szivesen megnezem! mert addig bizony csak mondogatsz szepeket :) (mese habbal)

Nem a felelősségről van szó, hanem arról, hogy mit vesznek teljesítésnek. Egyik egy jogi/bírósági téma, a másik meg egy számlázástechnikai. Amíg nincs TIB, nincs számlázás. Amíg nem azt szállítasz olyan minőségben, amit kell, nincs TIB.

trey @ gépház

pont az a kerdes, hogy te mit vallalsz? :) az a sajat erdeked ugy leszallitani egy cuccot, hogy az up2date, csokkentve ezzel az RMA rate-et.

szoval mit csinalsz ha az alaplapodra (nem, nem az AMD adja kozvetlenul, az o dolga csak az AGESA, az o customere az alaplap gyartoja, annak meg az integrator, annak meg a disztributor, annak meg az OEM... esetleg ezek permutacioi es kombinacioi...) nem jon/jott ki egy secu fix? :) nem adod el? :) varsz, mig felkel majd a nap? :)

es ha nem volt ra bios a gyartotol,

Ha nincs javítása, akkor nem minket terhel a felelősség. Ezt tényleg magyarázni kell? Ellenben, ha van javítás, de te nem szállítod, mert hanyag vagy, az a te felelősséged. Mi ez itt? Az ált. isk. 3. osztály?

Halló, egy picit lépj tovább a PC ABC szintjén, ami Gamer Pistikéknek szállít gépet aztán majd Pistuka otthon 2 Quake rocket jump közt futtatja a Agesa nünükédet.

Kicsit más szabályok vonatkoznak mondjuk katonai szintű beszállítókra .... gondolkodj már.

trey @ gépház

Nem, nem valaki. Abban az esetben, ha te kapcsolatban állsz olyan céggel, aki a "Honvédelmi Ágazati Elektronikus Információbiztonsági  Eseménykezelő Központ" felügyelete alá tartozik, akkor nem, hogy nem ilyen flegma fasz válaszokat adsz, hanem jelentesz, hogy "Igenis, készen van!". Beszállítóként.

Ha érdekel a folyamat, amiről lövésed nincs, akkor szólj, leírom neked, mert én rendszeresen készítek ilyen jelentéseket.

https://jogkodex.hu/doc/8459831

trey @ gépház

( dejo v | 2025. 02. 05., sze – 11:28 )

Szerkesztve: 2025. 02. 05., sze – 12:08

Szerencsére az ASRok a Deskmini X300 alaplaphoz szeptember óta több frissítést is adott ki.
Ma este telepítem is a legutóbbi decemberit, ami valószínűleg már tartalmazza a javítást, talán már valamelyik korábbi verzióban is.

Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

( lacesz v | 2025. 02. 05., sze – 21:03 )

Fullra kitiltanám a linux kernelből radeonostol atistol mindenestől...

( Zsugabubus | 2025. 02. 07., p – 12:15 )

Arra kíváncsi lennék, hogy bárki visszafejtette-e már a mikrokódot úgy, hogy abban bármilyen érdemleges módosítást tudjon csinálni (azon kívül, hogy lefagyasztja az egész gépet)?

defcon-on és ccc (a.k.a 3c, német) rendezvényeken szoktak előadni ilyen téren végzett kutatásokról. Némelyik csak elméleti, de szokott akadni köztük gyakorlati eredményt felmutató is.

Nyilván nagyon szofisztikált stuxnet szintű mikrokod rootkit-et senki nem fog megosztani publikusan.