近日,Google安全研究团队发现AMD EPYC及RYZEN处理器存在一个高危安全漏洞(CVE-2024-56161),该漏洞可能允许攻击者加载恶意CPU微码,对机密计算环境造成威胁。AMD已紧急发布针对EPYC服务器处理器的固件更新,并计划后续发布RYZEN处理器的修复方案。此漏洞影响ZEN 1至ZEN 4架构的所有AMD处理器,可能带来严重安全风险。
根据Google安全团队的报告,该漏洞源自AMD处理器在进行微码更新时,使用了不安全的哈希函数进行签名验证。这使得攻击者能够绕过验证机制,加载恶意的微码更新,进一步影响CPU的运行。
攻击者可利用该漏洞,破坏AMD安全加密虚拟化(SEV-SNP)技术所保护的机密计算环境,甚至影响动态信任根测量(Dynamic Root of Trust Measurement)。Google研究人员通过概念验证(PoC)展示了该漏洞的危害,他们成功修改微码,使得AMD ZEN架构处理器上的RDRAND指令始终返回固定值“4”,并强制CF设置为0,进而导致加密运算结果错误,使受保护的工作负载面临安全风险。
这项攻击不仅影响云计算服务器和数据中心,也可能对企业内部使用AMD处理器的关键运算环境带来风险。虽然该漏洞的利用条件较为严苛,需要攻击者拥有本地管理员权限,但对于高安全性需求的企业与数据中心来说,仍然需要高度关注并及时更新。
面对这一漏洞,AMD已迅速行动,并率先为EPYC服务器处理器发布SEV固件更新,以确保机密虚拟机(Confidential VM)的完整性和安全性。该修复方案能够防止攻击者利用该漏洞来绕过SEV-SNP技术的保护机制。
然而,截至目前,AMD尚未公布针对RYZEN系列消费级处理器的修复进程。由于此漏洞需要具备本地管理员权限才能被利用,因此对于一般家庭用户来说,短期内影响较小,但仍建议保持系统更新,并关注AMD官方的后续公告。
尽管此漏洞的攻击门槛较高,但仍建议AMD处理器用户采取以下措施来降低风险:
企业与服务器管理者:
一般用户:
目前,Google安全团队已将该漏洞的PoC程序代码公开至GitHub(PoC连接),这代表安全研究人员与攻击者都可研究并利用此漏洞,AMD用户应更加警惕,特别是企业级服务器与高安全需求的机密计算环境。
未来,AMD预计针对RYZEN处理器发布相应修复方案,用户应密切关注官方公告,并在第一时间进行更新,以确保系统安全。
