网易首页 > 网易科技 > IT业界 > 正文

别笑话英特尔了,AMD被爆也存在硬件安全漏洞

0
分享至

(原标题:RESEARCHERS POINT TO AN AMD BACKDOOR—AND FACE THEIR OWN BACKLASH)

网易科技讯 3月14日消息,以色列硬件安全公司CTS Labs于当地时间周二上午发布了一份白皮书,指出AMD芯片存在四类共计12个安全漏洞。如果得到证实,则表明AMD设计的处理器架构也存在安全问题。

据悉,硬件安全公司CTS Labs在其网站上发布了一份白皮书,指出黑客可能会针对AMD芯片在PC和服务器上发起的四类新攻击。在发布的白皮书中,该公司列举了一系列能够获得运行AMD“Zen”处理器架构的计算机访问权的新方法。在最坏的情况下,该公司所描述的安全漏洞能够让攻击者绕过防止篡改计算机操作系统的安全防范措施,并且植入无法检测或删除的恶意软件。

“我们相信这些漏洞会使应用AMD芯片的计算机网络面临相当大的风险,”CTS研究人员在发表的文章中写道,“这些安全漏洞向恶意软件敞开了大门,而植入的恶意软件可能在计算机重新启动或重新安装操作系统后仍然存在,而大多数计算机终端的安全解决方案几乎无法检测到恶意软件的存在,这可能会让攻击者深入到目标计算机系统中。“

图示:CTS研究人员在白皮书中列举的四类安全问题

CTS的研究人员似乎已经发现了AMD的Zen体系架构芯片的真正脆弱点,并将其分解为四类攻击,分别称为Ryzenfall,Masterkey,Fallout和Chimera。

他们说,前三种攻击技术利用了AMD安全处理器中的安全漏洞,安全处理器是AMD芯片中的一个独立处理器,旨在对其操作执行独立的安全检测。如果黑客拥有目标机器的管理权限,类似于CTS的攻击允许他们在这些安全处理器上运行自己的代码。这将能够让攻击者绕过保护加载操作系统完整性的安全启动保护措施以及防止黑客窃取密码的Windows系统凭证防护功能。这些攻击甚至可能让黑客在安全处理器中植入自己的恶意软件,在完全躲避杀毒软件的同时监控计算机的其他元素,甚至于在重新安装计算机的操作系统后仍然存在。

在这四次攻击中的最后一种,也就是Chimera攻击中,研究人员表示,他们利用的不仅仅是漏洞,而是一个后门。CTS表示,它发现AMD使用ASMedia出售的芯片组来处理外围设备的操作。研究人员说,他们早先发现,ASMedia的芯片组具有这样一个功能,允许有人通过电脑在外围芯片上运行代码,这似乎是开发人员留下的调试机制。这种调试后门显然不仅仅存在于ASMedia的产品中,而且还存在于AMD的产品中。因此,在机器上具有管理权限的黑客可能会在那些不太起眼的外设芯片中植入恶意软件,从而读取计算机的内存或网络数据。由于后门内置于芯片的硬件设计中,因此可能无法用单纯的软件补丁来修复

CTS Labs首席执行官Ido Li On表示:“它是芯片制造本身的问题。“这可能意味着,Li On认为,解决AMD安全问题的唯一解决方案是完全更换硬件。

虽然CTS并未公开披露其攻击行为的任何细节,但它确实与总部位于纽约的安全公司Trail of Bits私下分享这些信息,后者也基本上证实了CTS的调查结果。“无论如何,他们的确发现了像描述那样的安全漏洞,” Trail of Bit创始人Dan Guido表示,“如果您已经在某种程度上接管了一台计算机,这些安全漏洞将允许你扩展该访问权限,或者隐藏到通常认为不存在恶意软件的部分处理器中。”

需要注意的是,所有这四种攻击都需要管理权限,这意味着为了执行它们,黑客需要事先对设备进行特殊访问。也就说,即便没有进行Ryzenfall、Masterkey、Fallout以及Chimera这四类攻击,也可能已经对目标计算机系统造成了各种破坏。

Guido指出,Chimera后门可能是CTS攻击中最严重和最难修补的部分,但他也表示,他无法仅凭CTS的发现证实后门访问计算机的程度。他说:“要想知道如何利用攻击手段,需要更多的努力来弄清楚。”

但一个不寻常的举动是,CTS研究人员在公开信息前一天才与AMD分享他们的全部发现。通常安全漏洞的披露窗口会持续数月,旨在为受影响的制造商提供解决问题的机会。此外在发表的文章中几乎没有任何技术细节可以让任何人重现他们描述的攻击。而且CTS在其网站上包含一个不寻常的免责声明,报告可能涉及到对“公司证券表现的经济利益”产生影响,这引起安全分析师的担忧,认为CTS可能从AMD股价的下跌中受益。

“由于我不认为他们的行为是真诚的,并且缺乏细节使得其无法验证,所以我们很难全面解析它,“阿姆斯特丹自由大学硬件安全研究员Ben Gras写道,”这让我担心,这种影响可能被人为夸大了。”

谷歌安全研究员Arrigo Triulzi在Twitter上用简单的语言描述了这项研究:“过度炒作超出了信念。”

而AMD则针对该报告发布声明称,“在AMD公司,安全是首要任务。因为新的安全风险不断出现,我们一直在努力确保用户安全,”AMD在其自己对WIRED的简短声明中写道,“我们正在调查刚刚收到的这份报告,以了解研究结果的方法和价值。”

CTS认为,其之所以没有公开技术细节是为了不让通其他黑客利用其发现的安全漏洞和后门。“我们不会让任何人处于危险之中,”CTS联合创始人Yaron Luk-Zilberman表示,“我们原本没有意向为公众提供完整的技术细节,我们只会为那些能够提供安全问题解决方案的公司提供技术细节。”(晗冰)

相关推荐
热点推荐
民进党出来表态了,民进党作出重大的妥协!

民进党出来表态了,民进党作出重大的妥协!

杂谈天下式
2024-03-28 15:32:03
重庆一彩民中5581万元大奖,现场捐出100万元

重庆一彩民中5581万元大奖,现场捐出100万元

潇湘晨报
2024-03-28 19:49:19
人口回流开始了,这些省份十年首现负增长

人口回流开始了,这些省份十年首现负增长

每日经济新闻
2024-03-28 21:55:08
合肥楼市偷天换日,合肥二手房房价突破15000元,合肥楼市3月分析

合肥楼市偷天换日,合肥二手房房价突破15000元,合肥楼市3月分析

有事问彭叔
2024-03-28 18:15:29
初试428分无缘复试,考生吐槽390分的人走了后门,复试名单打脸了

初试428分无缘复试,考生吐槽390分的人走了后门,复试名单打脸了

飞鱼的说说
2024-03-28 18:00:50
雷军:昨晚发布会就像高考,打算好好睡一觉,结果很早就醒了

雷军:昨晚发布会就像高考,打算好好睡一觉,结果很早就醒了

三言科技
2024-03-29 08:08:08
大陆下最后通牒,台军设立落弹区,民众加速离岛,邱毅说了两句话

大陆下最后通牒,台军设立落弹区,民众加速离岛,邱毅说了两句话

戎评说
2024-03-27 11:49:54
TVB玩大了,内地绝对不敢这么拍

TVB玩大了,内地绝对不敢这么拍

港叔
2024-03-28 10:43:03
对《杜鹃花落》的查处会是一个标志吗

对《杜鹃花落》的查处会是一个标志吗

观人随笔
2024-03-27 11:28:16
你罚随你罚,我交算我输!佛罗伦萨一辆豪华SUV十年175张罚单未缴!

你罚随你罚,我交算我输!佛罗伦萨一辆豪华SUV十年175张罚单未缴!

华人街
2024-03-29 00:45:40
黑龙江一女子杀害情夫,被抓后说:他睡了我9年,却嫌我年纪大了

黑龙江一女子杀害情夫,被抓后说:他睡了我9年,却嫌我年纪大了

谈史论天地
2024-03-29 12:55:05
欧洲双王合体!5换1交易方案出炉:约基奇联手东契奇 掘金牺牲穆

欧洲双王合体!5换1交易方案出炉:约基奇联手东契奇 掘金牺牲穆

毒舌NBA
2024-03-29 17:02:26
合资车真的要完蛋了!

合资车真的要完蛋了!

电动知家
2024-03-28 16:16:15
小米汽车锁配置后定金无法退,网友被迫亏一万在咸鱼上面进行转卖

小米汽车锁配置后定金无法退,网友被迫亏一万在咸鱼上面进行转卖

映射生活的身影
2024-03-29 15:13:04
“五不管”的美国教育部

“五不管”的美国教育部

尚曦读史
2024-03-28 08:34:03
超7.9万人非法滞留日本!中国 4 月拟颁法律,严惩海外非法移民?

超7.9万人非法滞留日本!中国 4 月拟颁法律,严惩海外非法移民?

东京在线
2024-03-29 00:07:11
邓公的孙子邓卓棣:曾在美国深造,回国后当过副县长,现在何处?

邓公的孙子邓卓棣:曾在美国深造,回国后当过副县长,现在何处?

李姐历史
2023-11-10 10:18:17
“少女胯”和“妇女胯”有啥区别?看欧阳娜娜和戚薇的站姿就懂了

“少女胯”和“妇女胯”有啥区别?看欧阳娜娜和戚薇的站姿就懂了

神娱电影
2024-03-27 00:02:55
这名大队长被查,山东一地通报

这名大队长被查,山东一地通报

鲁中晨报
2024-03-29 12:05:07
单位里请牢记:只要你职位没动,工资按时发放,就不必太在意他人

单位里请牢记:只要你职位没动,工资按时发放,就不必太在意他人

侃故事的阿庆
2024-03-29 15:35:12
2024-03-29 17:40:49

科技要闻

雷军:我们是卷王,建议BBA车主感受下时代

头条要闻

奥巴马和克林顿露面支持拜登 特朗普方称要搞场更大的

头条要闻

奥巴马和克林顿露面支持拜登 特朗普方称要搞场更大的

体育要闻

拒绝为国出战,他是足坛"天选打工人"

娱乐要闻

胡夏被曝有孩子!工作室火速辟谣

财经要闻

张维迎:如何正确理解企业家精神?

汽车要闻

找回久违的开怀大笑 试驾小米SU7 Max

态度原创

本地
数码
教育
公开课
军事航空

本地新闻

专访|张伟潮:最年轻的龙头专职制造者

数码要闻

西部数据推出面向 NAS 应用的 24TB WD Red Pro 机械硬盘

教育要闻

虽然交通工程专业名称一样,但不同学校毕业却天壤之别

公开课

30岁之前,你要学会的13件事情

军事要闻

乌方声称击落两枚俄"锆石"高超音速导弹 俄方未予回应

无障碍浏览 进入关怀版
×