AMD, Zen 1 – Zen 5 işlemcilerinde mikro kod güncellemeleri için imza doğrulamasında bir güvenlik açığı bulunduğunu doğruladı. Bu güvenlik açığı “EntrySign” olarak adlandırıldı ve kötü niyetli kişilerin çekirdek seviyesinde erişim sağlamasına olanak tanıyor.

Geçen ay AMD, bu güvenlik açığının şirketin masaüstü PC işlemcilerinden EPYC sunucu çiplerine kadar her şeyi içeren ilk dört Zen nesli işlemcilerini etkilediğini doğrulamıştı. Şimdi AMD, en son Zen 5 neslinin de bu güvenlik açığından etkilendiğini doğruladı. Sorunun kökü, AMD’nin mikro kod güncellemeleri için yaptığı imza doğrulamasında yatıyor, bu güncellemeler çipteki hataları düzeltmek, stabiliteyi artırmak, performansı optimize etmek veya güvenlik açıkları için düzeltmeler sunmak gibi kritik öneme sahip.

Tipik bir süreç, işletim sistemi veya firmware’in, AMD tarafından güvenli ve güvenilir olarak imzalanmış mikro kodu yüklemesi ve bunu AMD’nin doğrulama sürecinden geçirmesidir, ancak EntrySign, halka 0 veya çekirdek düzeyinde erişime sahip kötü niyetli kişilerin güvenlik önlemlerini aşmasına izin veren bir açıktır. AMD’nin umut verici tarafı, ComboAM5PI 1.2.0.3c AGESA güncellemesi aracılığıyla üretici firmalara yönelik bir düzeltme yayınlamış olmasıdır.

Google’dan araştırmacılar, “AMD Mikro Kod İmza Doğrulama Güvenlik Açığı” başlıklı bir rapor sunarak, sistem yöneticisi yetkilerine sahip bir saldırganın zararlı mikro kod güncellemeleri yükleyebileceğini bildirdi. Araştırmacılar raporlarında, AMD tarafından imzalanmamış güncellemeleri nasıl yüklediklerini ve mikro kod güncellemeleri için keyfi imzaları nasıl sahteleştirdiklerini açıklıyorlar. AMD, bu tür bir saldırının herhangi bir sistemde gerçekleştiğine dair herhangi bir rapor almamıştır.

AMD, bu sorunun, sistem yöneticisi haklarına sahip bir saldırganın keyfi mikro kod düzeltmeleri yüklemesine olanak tanıyabilecek imza doğrulama algoritmasının bir zayıflığından kaynaklandığını düşünüyor. AMD, bu sorunu gidermek için etkiyi azaltıcı önlemler yayınlamayı planlıyor.

Normal kullanıcılar için iyi haber, sistemin yeniden başlatılmasıyla birlikte, bu yöntemle sisteme yüklenen herhangi bir zararlı kodun temizlenmesidir. Ayrıca, bu yöntemle bir saldırının gerçekleştirilebilmesi için yüksek düzeyde sistem yetkileri gerektirdiğinden, normal kullanıcılar için risk nispeten düşüktür. Yine de, olabildiğince çabuk güncelleme yapılması önerilir.