Уязвимости в архитектуре процессоров AMD Ryzen или обман CTS-Labs?

Эксперты израильской компании CTS-Labs разместили отчёт, который содержит данные о четырёх типах критических уязвимостей (Master Key, Ryzenfall, Fallout и Chimera) в процессорах AMD Ryzen и EPYC. Всего сообщается о тринадцати уязвимостях, позволяющих злоумышленникам получить доступ к защищённой области чипов (Secure Processor), где CPU хранят значимые данные (к примеру, ключи шифрования и пароли).

Как выясняется, случай, связанный с раскрытием этих угроз, довольно подозрительный. Все четыре группы имеют одну общую черту - чтобы воспользоваться этими уязвимостями, злоумышленник должен иметь права администратора. В технологической среде также принято правило, согласно которому публикация активности ошибок происходит через 90 дней после информирования изготовителя оборудования о них, давая возможность исправить эти ошибки. В этом случае не прошло и 24 часов, так что невероятная спешка CTS-Labs, связанная с раскрытием этих откровений, удивительна.

Ошибки, обнаруженные израильской командой, также не были идентифицированы номерами CVE, что является стандартной операцией при определении серьезных ошибок. Многие люди также сомневаются в намерениях CTS-Labs - якобы компания «может иметь прямые или косвенные экономические интересы, связанные с безопасностью компаний, которые являются предметом настоящего отчета». На веб-сайте CTS-Labs указано, что она была основана в 2017 году, а профиль компании LinkedIn, в свою очередь, говорит о 16-летнем опыте компании в работе по кибербезопасности. Кроме того, до сегодняшнего дня предыдущие достижения израильской компании не цитировались ни в одном онлайн-издании.

Ко всему прочему пользователи обратили внимание на тот факт, что канал YouTube, который разместил видео выше, был создан всего три дня назад. Компетенции компании также подрываются довольно любопытным вопросом - предприятие, занимающееся вопросами безопасности в сети, на своем собственном сайте не использует зашифрованный протокол HTTPS, который является расширением протокола HTTP для поддержки шифрования в целях повышения безопасности.

В самом начале этого года эксперты в области информационной безопасности сообщили об уязвимостях Meltdown и Spectre, затрагивающих значительную часть современных процессоров Intel, AMD и ARM. Вместе с тем одна из уязвимостей — Meltdown — не распространяется на чипы AMD.

Компания AMD уже опубликовала заявление, в котором утверждает, что «информация, полученная от CTS-Labs, активно анализируется, и приоритет заключается в том, чтобы как можно скорее устранить любые угрозы и обеспечить безопасность своих процессоров». Время покажет, какие шаги AMD предпримет в долгосрочной перспективе.

Ссылки

1. AMD security flaw found in Ryzen, EPYC chips - CNET