Hét informatieplatform over cloudoplossing en -bedrijven

Contact

Google-onderzoeker vindt lek in AMD’s Platform Security Processor

Google-onderzoeker vindt lek in AMD’s Platform Security Processor
08 January 2018 09:17 uur

Beveiligingsonderzoeker Cfir Cohen van Google heeft een beveiligingslek in de Platform Security Processor (PSP) ontdekt die op AMD-processors aanwezig is. De PSP is vergelijkbaar met de Intel Management Engine en biedt verschillende features om systemen te beheren en beveiligen.

Ook is de PSP essentieel voor het opstarten van het systeem. Cohen, onderdeel van het Google Cloud Security Team, ontdekte in een functie genaamd EkCheckCurrentCert een stack-based overflow. Via een speciaal geprepareerd EK (endorsement key) certificaat is het mogelijk om willekeurige code uit te voeren. De PSP blijkt verder geen beveiligingsmaatregelen toe te passen die misbruik van eventuele kwetsbaarheden lastiger moeten maken, zoals address space layout randomization (ASLR).

AMD laat tegenover The Register weten dat een aanvaller toegang tot het moederbord nodig heeft en het SPI-Flash moet aanpassen voordat de aanval kan worden uitgevoerd. In het geval een aanvaller hierin slaagt kan hij toegang krijgen tot informatie die door de Trusted Platform Module (TPM) wordt opgeslagen, zoals cryptografische sleutels, en is het mogelijk om de secure/trusted boot te omzeilen. Op Hacker News melden lezers dat de kwetsbaarheid niet kan worden gebruikt om bijvoorbeeld een uitgeschakelde computerEen apparaat voorzien van een processor, geheugen en opslag dat samen met de ge�nstalleerde software gebruikt kan worden om automatiseringsdiensten af te nemen aan te vallen, zoals via beveiligingslekken in de Intel Management Engine mogelijk was.

Cohen waarschuwde AMD op 28 september vorig jaar. Op 7 december had de chipfabrikant een fix gereed die aan getroffen partners en fabrikanten werd aangeboden, zodat die een update voor hun gebruikers konden ontwikkelen. De update is echter nog niet voor het publiek beschikbaar gemaakt. Dat zal later deze maand gebeuren. Toch besloot Google de details al bekend te maken. De internetgigant hanteert een deadline, waarbij leveranciers die over een beveiligingslek worden ingelicht 90 dagen de tijd krijgen om een update te ontwikkelen en uit te rollen. Bron: security.nl 7-1-18

  • Nederland ICT
  • ISPConnect