AMD thừa nhận về 13 lỗ hổng trong Ryzen và EPYC

AMD cuối cùng đã thừa nhận về 13 lỗ hổng trong Ryzen và EPYC được phát hiện và tiết lộ bởi các nhà nghiên cứu thuộc CTS Labs của Israel. Bên cạnh đó, công ty hứa sẽ tung ra bản vá cho hàng triệu các thiết bị bị ảnh hưởng ‘trong vài tuần tới’. Theo các nhà nghiên cứu CTS-Labs, các lỗ hổng nghiêm trọng (RyzenFall, MasterKey, Fallout và Chimera) ảnh hưởng đến bộ xử lý bảo mật nền tảng (Platform Security Processor) của AMD. Những lỗ lỗ hổng này cho phép kẻ tấn công truy cập vào các dữ liệu nhạy cảm, cài đặt phần mềm độc hại bên trong chip và có quyền truy cập vào các hệ thống bị xâm nhập.

Mặc dù việc khai thác các lỗ hổng của AMD đòi hỏi quyền truy cập của quản trị viên nhưng nó có thể giúp kẻ tấn công đánh bại các tính năng bảo mật quan trọng (như Windows Credential Guard, TPMs và ảo hóa) có trách nhiệm ngăn chặn việc truy cập vào các dữ liệu nhạy cảm từ cả tài khoản admin hay root. Trong một thông cáo báo chí được công bố bởi AMD vào hôm thứ ba (20/03), công ty đã làm giảm nguy cơ này bằng cách nói rằng, “bất kỳ kẻ tấn công nào đạt được quyền truy cập quản trị trái phép sẽ có hàng loạt các cuộc tấn công theo ý của họ tốt hơn cả các vụ tấn công được xác định trong nghiên cứu này”. Bên cạnh đó, AMD còn tuyên bố rằng các bản vá lỗi và cập nhật cho những lỗ hổng quan trọng này sẽ không ảnh hưởng đến hiệu năng thiết bị. Bên cạnh việc AMD thừa nhận về 13 lỗ hổng trong Ryzen và EPYC thì còn có một điều đáng bàn ở đây đó chính là những tranh cãi xung quanh việc công khai những lỗ hổng đến công chúng. Các chuyên gia và nhà báo của Infosec đã lôi kéo CTS Labs vào những cuộc tranh luận bằng việc đặt câu hỏi về cách thức họ tiết lộ thông tin về những lỗ hổng của bộ vi xử lý cho công chúng trong vòng chưa đầy 24 giờ sau khi thông báo cho AMD. Tuy nhiên, điều quan trọng cần lưu ý là các nhà nghiên cứu CTS Labs đã không tiết lộ bất kỳ thông tin kỹ thuật nào về những lỗ hổng với công chúng mà có thể gây hại cho người dùng AMD bằng bất cứ cách nào. Theo Ilia Luk-Zilberman – CTO của CTS-Labs, thì quá trình ‘Tiết lộ có trách nhiệm’ có hai vấn đề đáng cân nhắc, đó là:

1. Nếu các nhà nghiên cứu đưa ra giới hạn 30/45/90 ngày cho nhà cung cấp bị ảnh hưởng thì rất hiếm khi nhà cung cấp thông báo cho khách hàng về các lỗ hổng bảo mật chưa được vá trong giai đoạn này và khiến cho họ không ý thức được về những rủi ro tiềm ẩn.
2. Nếu các nhà cung cấp không phản hồi hoặc vá lỗ hổng trong khoảng thời gian tiết lộ 90 ngày thì các nhà nghiên cứu có thể công khai đầy đủ về các chi tiết kỹ thuật của lỗ hổng mà sẽ đặt khách hàng của họ vào những rủi ro tiềm ẩn.

Zilberman hiểu được nhu cầu của cả hai bước, nhưng với phong cách tiết lộ “lỗ hổng của AMD”, công ty đề xuất một quá trình khác là “Tiết lộ Có trách nhiệm”, bao gồm:

• thông báo cho khách hàng bị ảnh hưởng về tác động của những lỗ hổng
• đảm bảo áp lực công chúng lên nhà cung cấp để có được bản vá lỗi càng sớm càng tốt
• xác minh các lỗ hổng với chuyên gia bên thứ ba
• không bao giờ đặt khách hàng vào những rủi ro tiềm ẩn

Zilberman nói: “Tôi nghĩ rằng một cách tốt hơn là thông báo cho công chúng về những lỗ hổng chưa được khắc phục và tác động của nó là gì. Cùng một lúc thông báo cho công chúng và nhà cung cấp biết. Và không bao giờ tiết lộ về các chi tiết kỹ thuật thực tế trừ khi nó đã được fix. Đồng thời, công khai đặt áp lực lên nhà cung cấp từ lúc bắt đầu, nhưng sẽ không bao giờ đặt khách hàng vào rủi ro tiềm ẩn”. Mặc dù AMD thừa nhận về 13 lỗ hổng trong Ryzen và EPYC nhưng CTS Labs cũng tuyên bố rằng AMD có thể mất vài tháng để phát hành bản vá cho hầu hết các lỗ hổng, mặc dù có một số lỗ hổng họ không thể fix.