El error AMD ‘Zenbleed’ se puede explotar para filtrar contraseñas de las CPU Ryzen

Se descubrió una nueva vulnerabilidad de seguridad que afecta a la línea de procesadores Zen 2 de AMD, que incluye CPU populares como el económico Ryzen 5 3600, que podría explotarse para robar datos confidenciales, como contraseñas y claves de cifrado. El investigador de seguridad de Google, Tavis Ormandy, expuso el error «Zenbleed» (registrado como CVE-2023-20593) en su blog Esta semana después de que la vulnerabilidad se informara por primera vez a AMD el 15 de mayo.

Toda la familia de productos Zen 2 se ve afectada por la vulnerabilidad, incluidos todos los procesadores de la serie AMD Ryzen 3000/4000/5000/7020, la serie Ryzen Pro 3000/4000 y los procesadores del centro de datos EPYC «Rome» de AMD. Desde entonces AMD publicado El calendario de lanzamiento esperado para parchear la vulnerabilidad, y no se espera que la mayoría de las actualizaciones de firmware lleguen hasta finales de este año.

de acuerdo a Estilo de nubeEl exploit Zenbleed no requiere acceso físico a la computadora de un usuario para atacar su sistema, e incluso puede ejecutarse de forma remota a través de Javascript en una página web. Si se implementa con éxito, el exploit permite que los datos se transfieran a una velocidad de 30 kilobytes por núcleo por segundo. Eso es lo suficientemente rápido como para robar datos confidenciales de cualquier software que se ejecute en el sistema, incluidas máquinas virtuales, sandboxes, contenedores y procesos, según Ormandy. como Toms Se observa que la resiliencia de este exploit es una preocupación particular para los servicios alojados en la nube, ya que puede usarse para espiar a los usuarios dentro de las instancias de la nube.

Peor aún: Zenbleed puede pasar desapercibido porque no requiere ninguna llamada especial al sistema ni privilegios para explotar. “No conozco ninguna técnica confiable de detección de exploits”, dijo Ormandy. El error comparte algunas similitudes con la clase Spectre de vulnerabilidades de CPU en el sentido de que usa la falla en implementaciones especulativas, pero es mucho más fácil de implementar, lo que lo hace más parecido a la familia de vulnerabilidades Meltdown. El desglose técnico completo con respecto a la vulnerabilidad de Zenbleed se puede encontrar en Blog de Ormandía.

AMD ya lanzó un parche de microcódigo para sus procesadores Epyc 7002 de segunda generación, aunque las próximas actualizaciones para las líneas de CPU restantes no se esperan hasta octubre de 2023 como muy pronto. La compañía no reveló si estas actualizaciones afectarían el rendimiento del sistema, pero AMD le proporcionó una declaración. Toms Se sugiere que es posible:

Cualquier impacto en el rendimiento variará según la carga de trabajo y la configuración del sistema. AMD no tiene conocimiento de ninguna explotación conocida de la vulnerabilidad descrita fuera del entorno de investigación.

Ormandy recomienda encarecidamente que los usuarios afectados apliquen la actualización del microcódigo de AMD, pero también ha proporcionado instrucciones en su blog para una solución de software que se puede implementar mientras esperan que los proveedores incorporen una solución en futuras actualizaciones de BIOS. Ormandy advierte que esta solución también puede afectar el rendimiento del sistema, pero al menos es mejor que tener que esperar una actualización de firmware.