2018年3月13日、イスラエルの CTS-LABS 社が「AMD の CPU に脆弱性があることを確認した」というレポートを公開しました。
概要
発表された 12 個の脆弱性は大きくは 4 つに分類されます。
- MASTERKEY (マスターキー)
- RYZENFALL (ライゼンフォール)
- FALLOUT (フォールアウト)
- CHIMERA (キメラ)
1. MASTERKEY (3 種類)
MASTERKEY の影響を受ける CPU
EPYC, Ryzen, Ryzen Pro, Ryzen Mobile
MASTERKEY の影響内容
AMD のセキュアプロセッサー内にマルウェア等を常駐させ続けられる。
Secure Encrypted Virtualization (SEV) や Firemware Trusted Platform Module (fTPM) 等のファームウェアベースのセキュリティ機能を回避することができる。
Windows Credential Guard 等の Virtualization-based Security (VBS) を回避し、ネットワーク資格情報を盗み見できる。
SPI flash ware-out 等のハードウェアに物理ダメージを与えることができる。
MASTERKEY の攻撃を受ける条件
攻撃者が特殊な細工をされた BIOS アップデートを行う (re-flash the BIOS with a specially crafted BIOS update) ことができること
2. RYZENFALL (4 種類)
RYZENFALL の影響を受ける CPU
Ryzen, Ryzen Pro, Ryzen Mobile(RYZENFALL-1のみ)
RYZENFALL-1 の影響内容
保護されたメモリ領域への書き込みができる。
VBS のセキュリティを回避し、ネットワーク資格情報を盗むことができる。
VTL-1 (VBS の Virtual Trust Level 1) のメモリ領域にマルウェアを常駐させることができる。(ウィルス対策ソフト等で検知できない)
RYZENFALL-2 の影響内容
Secure Management RAM (SMRAM) の Read/Write 保護を無効化できる
SMM (x86 の動作モードの 1 種)のメモリ領域にマルウェアを常駐させることができる。(ウィルス対策ソフト等で検知できない)
RYZENFALL-3 の影響内容
保護されたメモリ領域から読み込みができる
VTL1 メモリ領域から秘密情報を取得することで、Windows Credential Guard のセキュリティを回避できる
RYZENFALL-4 の影響内容
セキュアプロセッサ上に任意のコードを実行させることができる
fTPM 等のファームウェアベースのセキュリティを回避できる
Windows Credential Guard 等の VBS を回避できる
SPI flash wear-out 等のハードウェアに物理ダメージを与えることができる
RYZENFALL の攻撃を受ける条件
administrator 権限に昇格したローカルマシンで任意のプログラムを実行できること
3. FALLOUT(3種類)
FALLOUT の影響を受けるCPU
EPYC
FALLOUT-1 の影響内容
保護されたメモリ領域への書き込みができる。
VBS のセキュリティを回避し、ネットワーク資格情報を盗むことができる。
VTL-1 (VBS の Virtual Trust Level 1) のメモリ領域にマルウェアを常駐させることができる。(ウィルス対策ソフト等で検知できない)
FALLOUT-2 の影響内容
Secure Management RAM (SMRAM) の Read/Write 保護を無効化できる
SMM (x86 の動作モードの 1 種)のメモリ領域にマルウェアを常駐させることができる。(ウィルス対策ソフト等で検知できない)
FALLOUT-3 の影響内容
保護されたメモリ領域から読み込みができる
VTL1 メモリ領域から秘密情報を取得することで、Windows Credential Guard のセキュリティを回避できる
FALLOUT の攻撃を受ける条件
administrator 権限に昇格したローカルマシンで任意のプログラムを実行できること
4. CHIMERA (FW, HW の 2 種類)
CHIMERA の影響を受けるCPU
Ryzen, Ryzen Pro
CHIMERA の影響内容
工場出荷状態でセットされた2セットのバックドア:1つは FW (ファームウェア) に、もう 1 つは HW (ASIC) に存在している。
チップセット内部の 8051 アーキテクチャの中に自らマルウェアを注入してしまう。
チップセットが CPU を USB、SATA、PCI-E デバイスへリンクさせる。Wifi や Bluetooth 等のネットワークトラフィックをチップセットを経由させることができる
チップセット内部で実行しているマルウェアが各種ハードウェアデバイスの中間位置に常駐し制御できる
CHIMERA の攻撃を受ける条件
administrator 権限に昇格したローカルマシンで任意のプログラムを実行できること
感想
まず今回私が参照したホワイトペーパー (タイトル:Severe Security Advisory on AMD Processors) はソースが CTS-LABS では無かったのがまず不自然。キーワード "CTS-LABS Vulnerability Ryzen EPYC MASTERKEY" あたりで Google 検索しても CTS-LABS のページがヒットしないのは何故なのか?そもそも公式ページも無い模様。(一応、amdflaws.com というそれらしきサイトはあるが、これが公式なものかどうかは不明)
次に、内容も怪しい。Meltdown/Spectre や KRACK のときは具体的な攻撃方法が書かれていたが、今回のは一切無く、脆弱性によりどういうことが起こりうるか、というのがメインになっているように読めた。PoC (脆弱性を証明する具体的な攻撃コード) を公開するような予告も見られない。また、噂では AMD に修正猶予期間を与えず不意打ち的に今回の脆弱性を公開した、との情報もあり、どうにも怪しい。
それと、一番の突っ込みどころはもちろん、「攻撃を受ける条件が、そもそもこの攻撃無しでも色々と不正ができる状態」なので、もうこの脆弱性の使いみちはリモートからのものにはなり得ない。
どちらかというと内部犯、つまりシステム管理者が悪意を持って攻撃を仕掛け、自分が会社を辞めた後に気付かれることなくリモートから色々と出来てしまう、という脆弱性だということなのだろうか。
でもやっぱりこんな小難しいことするよりトロイの木馬をローカルで埋め込むほうが楽だよなぁ。。
だとしたら、わざとこのような完成度の低いホワイトペーパーを不意打ち的に出したということか?
大々的に攻撃名やロゴまで作って、Spectre/Meltdown を彷彿させるようなインパクトを出そうとしている意図が見えるが、中身が薄く、何かの匂いがプンプンする。
一体全体、誰が何のために?
AMD を狙い撃ちというところから推察するに、AMD に恨みを持つ人物の仕業?
だとすると
・・・
IT/インフラエンジニアの地位とスキル向上のために
あなたが成長の日々を歩めますように。
コメント