Исследователь экспертного центра безопасности Positive Technologies Тимофей Дудицкий помог исправить опасную уязвимость в линейках процессоров AMD EPYC, Ryzen, EPYC и Ryzen Embedded. Компания AMD — второй крупнейший разработчик чипов, она занимает 37% мирового рынка процессоров. Недостаток защиты суммарно затронул 56 моделей чипов, включая бюджетные серии, например Athlon 3000, Ryzen 5000 и Ryzen 6000 с графикой Radeon. Под угрозой находились обычные пользователи, а также бизнес и госучреждения в разных странах. Например, в случае атак на организации злоумышленники могли бы длительное время оставаться незамеченными, перемещаться по корпоративной сети, следить за жертвой и похищать чувствительные данные. Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и опубликовал обновления микропрограммного обеспечения. Об этом CNews сообщили представители Positive Technologies.
Процессоры AMD EPYC используются в центрах обработки данных, высокопроизводительных вычислительных системах, средствах виртуализации и контейнеризации. В свою очередь, многоядерные процессоры AMD Ryzen выпускаются для настольных, мобильных, серверных и встроенных платформ, решая широкий круг задач — от поддержки офисных приложений до ресурсоемких вычислений. На их базе среди прочего функционируют домашние и рабочие ноутбуки и компьютеры. Семейства встраиваемых (embedded) процессоров AMD EPYC и Ryzen применяются в сетевых решениях, системах хранения данных и медицинской визуализации, промышленных системах, тонких клиентах и цифровых играх.
Уязвимости PT-2026-33168 (CVE-2025-54502; BDU:2025-10277) присвоено 7,1 балла по шкале CVSS 4.0, что соответствует высокому уровню опасности. Эксперт Positive Technologies обнаружил недостаток в прошивке материнских плат (UEFI), а именно в драйвере SMM, отвечающем за работу компонента AMD Platform Configuration Blob. Простыми словами, производитель недостаточно защитил наиболее привилегированный режим работы процессора — System Management Mode (SMM), используемый для того, чтобы управлять платформой, ее питанием, безопасностью и другими функциями.
С технической точки зрения уязвимость вызвана возможностью некорректно использовать в уязвимом драйвере службу загрузки. Этот сервис ни в коем случае не должен быть задействован в вышеназванном режиме работы процессора. По словам Тимофея Дудицкого, такие проблемы безопасности могут возникать из-за невнимательности при первоначальной разработке ПО либо при последующем обновлении его компонентов. Кроме того, разработчики могут пренебрегать оптимизацией или тестированием написанного кода, из-за чего в продуктах остаются ошибки, которые можно было легко устранить на ранних этапах разработки.
Потенциальный злоумышленник мог проводить атаки либо находясь физически рядом с целевым устройством, либо локально, имея доступ к ядру системы. Для полноценной эксплуатации найденной и уже закрытой уязвимости ему потребовалось бы одно из двух условий.
Успешная реализация цепочки эксплойтов. Наиболее опасный сценарий мог бы возникнуть при локальном применении уязвимости: нарушителю было бы необходимо обойти протокол безопасности Secure Boot , дополнительно найти и проэксплуатировать уязвимость , позволяющую читать память в режиме SMM и записывать в нее, а потом воспользоваться PT-2026-33168, чтобы внедрить вредоносный код, например бэкдор). При наличии физического доступа для успешной атаки достаточно было бы только дополнительной уязвимости для чтения и записи.
Неправильные параметры, заданные производителем при настройке материнской платы. Например, вендор мог выбрать неверную конфигурацию защиты той области памяти, в которой расположен режим SMM.
«Из-за того, что уязвимые чипы широко распространены в мире — от домашних ноутбуков до оборудования в дата-центрах, угроза была крайне серьезной. Если бы злоумышленники успели воспользоваться уязвимостью, обычные пользователи ни по каким признакам не смогли бы понять, что в прошивку материнской платы добавлен нелегитимный модуль, который выполняет вредоносные команды атакующих. При захвате корпоративных узлов они бы получили полную свободу действий, так как были бы невидимыми для большинства защитных средств и имели бы возможность продолжать зловредную активность даже после переустановки операционной системы, — сказал Тимофей Дудицкий, специалист группы анализа уязвимостей экспертного центра безопасности Positive Technologies. — С наибольшей вероятностью хакеры выбрали бы мишенями госучреждения и коммерческие компании. Практика расследований PT ESC показывает, что этот тип недостатков эффективно используется для проведения высокотехнологичных и сложных атак с намерением закрепиться в инфраструктурах жертв. С помощью PT-2026-33168 киберпреступники могли бы в течение нескольких месяцев шпионить за сотрудниками, незаметно красть ценные данные и передвигаться по внутренней корпоративной сети».
Среди возможных вариантов развития атак эксперт также отметил: cкрытое длительное слежение за жертвой; извлечение личных и корпоративных данных из пораженных сервисов и систем; запуск вредоносного кода (или программы), предоставляющего максимальные привилегии в операционной системе; обход установленных решений для ИБ с целью углубить нападение; разрушительное воздействие на работу устройства, в частности провоцирование отказа в обслуживании (например, если во время записи в SPI ROM возникает ошибка).
Чтобы пользователям и организациям оставаться защищенными, необходимо следовать рекомендациям AMD и обязательно установить соответствующее обновление драйвера. Если загрузить его не удается, Тимофей Дудицкий советует включить безопасную загрузку, защищающую операционную систему от скачивания вредоносного кода еще до ее запуска, а также следить за рабочим местом и USB-разъемами, чтобы не допускать подключения недоверенных или подозрительных флеш-накопителей. Кроме того, следует обновлять ОС незамедлительно после выпуска патчей: они среди прочего могут содержать исправления для протокола Secure Boot и поддержания его корректной работы.
В числе других рекомендаций, актуальных в первую очередь для подразделений ИТ и ИБ, — ограничить для критически важных систем физический доступ к устройствам с уязвимым компонентом, запретить загрузки кастомных UEFI-образов, отключить в настройках функции Legacy USB, Thunderbolt и PCI-e Hot-Plug, активировать BIOS Lock , использовать встроенные в систему инструменты защиты, антивирусные программы с возможностью мониторинга целостности ядра, а также средства защиты от DMA-атак (Intel VT-d, AMD-Vi).
Поделиться
