Mogelijk grote beveiligingslekken in AMD-chips

Afgelopen jaar bleek dat Intel-processoren al jaren te maken hadden met twee grote beveiligingslekken, die uiteindelijk Spectre en Meltdown genoemd werden. Het kwam het bedrijf op grote kritiek te staan en mogelijk ook dure rechtszaken. Nu blijkt dat Intel niet de enige processorfabrikant is met dergelijke problemen.

Ook chipfabrikant AMD blijkt in zijn Ryzen en EPYC-chips met soortgelijke problemen te maken te hebben. Israëlische onderzoekers stellen dat ze dertien fouten in AMD’s Ryzen en EPYC-chips gevonden hebben. Die zouden aanvallers ertoe in staat stellen malware te installeren op sterk beveiligde delen van de processoren.

Wat is het probleem?

De onderzoekers van CTS-Labs stellen dat miljoenen apparaten daarmee te maken hebben met forse beveiligingsproblemen. Het zou vooral zorgwekkend zijn dat de problemen liggen in wat doorgaans het best beveiligde deel van een processor is. Het gaat om de plek waar apparaten gevoelige data als wachtwoorden en sleutels bewaren.

Voor de meeste kwetsbaarheden is het nodig om administrator-toegang te hebben tot de computer. Een aanvaller zou dus eerst malware moeten installeren om de problemen uit te kunnen buiten. Desondanks is het mogelijke risico groot en kunnen veel apparaten kwetsbaar zijn.

Reactie van AMD

De onderzoekers gaven AMD  nog geen vierentwintig uur om te reageren op de kwetsbaarheden, alvorens ze het rapport vrijgaven. Dat is vrij ongebruikelijk, want normaliter krijgen bedrijven negentig dagen de tijd, zodat ze de problemen ook op kunnen lossen alvorens de bugs bekend worden gemaakt. Op die manier kunnen kwaadwillenden er geen misbruik meer van maken.

“Bij AMD is veiligheid een topprioriteit en werken we er continu aan om ervoor te zorgen dat onze gebruikers veilig zijn,” aldus een woordvoerder van het bedrijf. “We onderzoeken dit rapport, dat we nu net pas ontvangen hebben, in een poging de methodologie te begrijpen en de bevindingen te gebruiken.”

Is het een hoax?

Kritiek is er ook. CTS-Labs is relatief onbekend en bestaat pas net een jaar. Het bedrijf heeft dus geen duidelijke geschiedenis als het aankomt op het opspeuren van bugs en dat het niet de gewone termijn van negentig dagen heeft aangehouden, zorgt ook voor twijfels over de intenties. Zo is er speculatie dat CTS-Labs belangen heeft in bijvoorbeeld Intel, al ontkent CTS dat.

Tegelijk is er beveiligingsonderzoeker Dan Guido die op  Twitter schrijft dat de problemen echt lijken te zijn. “De bugs zijn echt, en worden accuraat omschreven in hun technisch rapport [dat niet publiekelijk verkrijgbaar is] en de exploit-code werkt,” aldus Guido. Wat de ernst van de bugs betreft, stelt hij dat ze minder erg zijn dan Meltdown en Spectre, en dat het vooral “goed begrepen programmeerfouten” zijn.