Google-onderzoeker vindt lek in AMD's Platform Security Processor
Beveiligingsonderzoeker Cfir Cohen van Google heeft een beveiligingslek in de Platform Security Processor (PSP) ontdekt die op AMD-processors aanwezig is. De PSP is vergelijkbaar met de Intel Management Engine en biedt verschillende features om systemen te beheren en beveiligen.
Ook is de PSP essentieel voor het opstarten van het systeem. Cohen, onderdeel van het Google Cloud Security Team, ontdekte in een functie genaamd EkCheckCurrentCert een stack-based overflow. Via een speciaal geprepareerd EK (endorsement key) certificaat is het mogelijk om willekeurige code uit te voeren. De PSP blijkt verder geen beveiligingsmaatregelen toe te passen die misbruik van eventuele kwetsbaarheden lastiger moeten maken, zoals address space layout randomization (ASLR).
AMD laat tegenover The Register weten dat een aanvaller toegang tot het moederbord nodig heeft en het SPI-Flash moet aanpassen voordat de aanval kan worden uitgevoerd. In het geval een aanvaller hierin slaagt kan hij toegang krijgen tot informatie die door de Trusted Platform Module (TPM) wordt opgeslagen, zoals cryptografische sleutels, en is het mogelijk om de secure/trusted boot te omzeilen. Op Hacker News melden lezers dat de kwetsbaarheid niet kan worden gebruikt om bijvoorbeeld een uitgeschakelde computer aan te vallen, zoals via beveiligingslekken in de Intel Management Engine mogelijk was.
Cohen waarschuwde AMD op 28 september vorig jaar. Op 7 december had de chipfabrikant een fix gereed die aan getroffen partners en fabrikanten werd aangeboden, zodat die een update voor hun gebruikers konden ontwikkelen. De update is echter nog niet voor het publiek beschikbaar gemaakt. Dat zal later deze maand gebeuren. Toch besloot Google de details al bekend te maken. De internetgigant hanteert een deadline, waarbij leveranciers die over een beveiligingslek worden ingelicht 90 dagen de tijd krijgen om een update te ontwikkelen en uit te rollen.
Daarna kan ie doen wat ie wil. ;-)
Kom ik op:
http://www.amd.com/en-us/solutions/pro/security-manageability aparte cortex Arm geintegreerd met een eigen OS.
Via dash PSP ASP naar:
https://www.dmtf.org/sites/default/files/standards/documents/DSP0232_1.1.0.pdf soap xml http bericht afhandeling.
Dat is veel software. Het meeste gewoon geheim weinig onerzoek en review. Het wachten zal op uitlekken van problemen zijn. Tijd heelt veel, de Alto van 40+ jaar terug had recent ook last van zo'n fundamentele fout.
Dat is nu de oogst voor het jarenlang op gapende gaten blijven zitten van de bekendste drie- en vier-letterdiensten.
Daarna komt de proliferatie met de daarbij behorende staatse waterhandel, waarna alle onverkwikkelijkheid in handen van cybercriminelen belandt en de infrastructuur nog verder "geborkt" houdt en aantatst.
Als je hier aandacht voor vraagt, wordt dit vaak afgedaan met "onveiligheid is van alle tijden" en zou men je het liefst in de alu-hoedjes of conspiracy hoek willen plaatsen, want je vormt een bedreiging voor het gevestigd belang en de enorme winsten van dien.
Waarom dan niet ingezet op betere beveiliging met security headers, betere en veiliger configuraties en settings, beter beveiligde connecties, betere monitoring en het direct aan de schandpaal nagelen van onveilige clouddiensten met sub-domeinen, die weldra niet meer van jou hoeven te zijn en een beveiliging te mooi om waar te zijn en dat dan ook daadwerkelijk blijkt te zijn.
Vaak heb ik het idee voor het gebied waar ik relevante kennis bezit en dat is 3rd party cold reconnaissance website security en error-hunting, hoe het in g*desnaam op sommige websites nog zo lang goed kon gaan eer het goed fout ging. Maar ja ik weet het niet en de arrogante nietsnutter zet mij weg als "lastig" voor zijn drammodel.
Vaak heb ik het idee voor het gebied waar ik relevante kennis bezit en dat is 3rd party cold reconnaissance website security en error-hunting, hoe het in g*desnaam op sommige websites nog zo lang goed kon gaan eer het goed fout ging. Maar ja ik weet het niet en de arrogante nietsnutter zet mij weg als "lastig" voor zijn drammodel.
Met dat laatste bedoel ik dat een enkel ingekocht iets opgehemeld moet worden als het ultieme van alles.
Informatie security is ondergeschikt het doel van het project de vinkjes bonus en het feestje.
Hetgeen dat laatste ogenschijnlijk in de weg staat wordt heel vaak een persoonlijke aanval als lastpost. Gangbare praktijk.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
