Исследователь безопасности обнаружил уязвимость в автообновлении драйверов AMD

1 час назад / Технологии → Новости / Технологии

2026 год. Будущее человечества обсуждается на фоне развития искусственного интеллекта, а роботы становятся жутковато человекоподобными. И тем не менее, автообновлятель драйверов AMD для Windows, как выяснилось, до сих пор загружает программное обеспечение небезопасным способом (ссылка на Web Archive). Обнаружил это человек, представившийся как Пол, начинающий исследователь безопасности из Новой Зеландии, опубликовавший свои выводы в блоге. Позже запись была удалена «временно [...] по запросу». Пока неясно, была ли уязвимость проверена непосредственно AMD, но автор отмечает, что удаление временное, и его находка уже вызвала активный интерес в сети.

Согласно Полу, когда автообновлятель находит доступное обновление, он загружает его по незащищённому соединению. Это создаёт возможность для злоумышленника в той же сети или дальше по цепочке выдать себя за сайт AMD или изменить загружаемый файл на лету, добавив шпионское или ransomware-ПО — и всё это с правами администратора.

Пол утверждает, что действовал ответственно и немедленно сообщил о проблеме в AMD, но получил шаблонный ответ о том, что атаки типа «человек посередине» (MitM) являются «вне рамок программы», что подразумевает, что ошибка исправляться не будет. Хотя Пол не уточнил, скорее всего, он отправил отчёт через программу вознаграждения за уязвимости AMD, а значит, не получит награды за свою работу.

Хотя представитель AMD технически прав (что часто считается лучшим видом правоты), если ситуация такова, как описано, то барьер для атаки чрезвычайно низок.

Самый простой способ — перенаправить домен ati.com на собственный сервер с вредоносным ПО, так как автообновлятель слепо ему доверяет, или перехватить загрузку и изменить её, поскольку незащищённые соединения не обеспечивают проверку целостности.

Учитывая, что продукты AMD установлены на множестве компьютеров, потенциальная поверхность атаки, вероятно, исчисляется миллионами. Тот факт, что подавляющее большинство пользователей позволяют своим устройствам автоматически подключаться к известным Wi-Fi сетям, ситуацию не улучшает.

Что ещё хуже, если выводы подтвердятся, сложно сказать, как долго обновления доставлялись таким образом. Некоторые поиски указывают, что автообновлятель датируется 2017 годом, хотя трудно определить, когда именно этот обработчик загрузки был запущен в работу. В худшем случае речь может идти о почти десятилетии небезопасной доставки ПО для всего мира.

Пол обнаружил это, когда заметил неожиданно появляющееся окно консоли на своём новом игровом ПК. «Нет ярости сильнее, чем у исследователя, которого проигнорировали», — так что он быстро отследил это окно до автообновлятеля AMD и, по его собственным словам, решил «наказать это ПО, декомпилировав его». Это быстро привело его к ссылке, откуда софт получает список доступных обновлений, странно названной «Devlpment» [sic].

Сам этот список доставляется по HTTPS-ссылке, то есть безопасно, но, к ужасу Пола, фактические пакеты драйверов используют стандартные HTTP-ссылки. Это означает, что они лишены двух основных преимуществ HTTPS: проверки подлинности удалённого сервера (в данном случае ati.com) и целостности передаваемых данных от изменений.

Если всё это правда, остаётся лишь надеяться, что AMD осознает ошибку, немедленно исправит проблему и выплатит Полу вознаграждение за его расследование.

Источник: Tomshardware.com