Google-onderzoeker vindt lek in AMD's Platform Security Processor
Beveiligingsonderzoeker Cfir Cohen van Google heeft een beveiligingslek in de Platform Security Processor (PSP) ontdekt die op AMD-processors aanwezig is. De PSP is vergelijkbaar met de Intel Management Engine en biedt verschillende features om systemen te beheren en beveiligen.
Ook is de PSP essentieel voor het opstarten van het systeem. Cohen, onderdeel van het Google Cloud Security Team, ontdekte in een functie genaamd EkCheckCurrentCert een stack-based overflow. Via een speciaal geprepareerd EK (endorsement key) certificaat is het mogelijk om willekeurige code uit te voeren. De PSP blijkt verder geen beveiligingsmaatregelen toe te passen die misbruik van eventuele kwetsbaarheden lastiger moeten maken, zoals address space layout randomization (ASLR).
AMD laat tegenover The Register weten dat een aanvaller toegang tot het moederbord nodig heeft en het SPI-Flash moet aanpassen voordat de aanval kan worden uitgevoerd. In het geval een aanvaller hierin slaagt kan hij toegang krijgen tot informatie die door de Trusted Platform Module (TPM) wordt opgeslagen, zoals cryptografische sleutels, en is het mogelijk om de secure/trusted boot te omzeilen. Op Hacker News melden lezers dat de kwetsbaarheid niet kan worden gebruikt om bijvoorbeeld een uitgeschakelde computer aan te vallen, zoals via beveiligingslekken in de Intel Management Engine mogelijk was.
Cohen waarschuwde AMD op 28 september vorig jaar. Op 7 december had de chipfabrikant een fix gereed die aan getroffen partners en fabrikanten werd aangeboden, zodat die een update voor hun gebruikers konden ontwikkelen. De update is echter nog niet voor het publiek beschikbaar gemaakt. Dat zal later deze maand gebeuren. Toch besloot Google de details al bekend te maken. De internetgigant hanteert een deadline, waarbij leveranciers die over een beveiligingslek worden ingelicht 90 dagen de tijd krijgen om een update te ontwikkelen en uit te rollen.
Daarna kan ie doen wat ie wil. ;-)
Kom ik op:
http://www.amd.com/en-us/solutions/pro/security-manageability aparte cortex Arm geintegreerd met een eigen OS.
Via dash PSP ASP naar:
https://www.dmtf.org/sites/default/files/standards/documents/DSP0232_1.1.0.pdf soap xml http bericht afhandeling.
Dat is veel software. Het meeste gewoon geheim weinig onerzoek en review. Het wachten zal op uitlekken van problemen zijn. Tijd heelt veel, de Alto van 40+ jaar terug had recent ook last van zo'n fundamentele fout.
Dat is nu de oogst voor het jarenlang op gapende gaten blijven zitten van de bekendste drie- en vier-letterdiensten.
Daarna komt de proliferatie met de daarbij behorende staatse waterhandel, waarna alle onverkwikkelijkheid in handen van cybercriminelen belandt en de infrastructuur nog verder "geborkt" houdt en aantatst.
Als je hier aandacht voor vraagt, wordt dit vaak afgedaan met "onveiligheid is van alle tijden" en zou men je het liefst in de alu-hoedjes of conspiracy hoek willen plaatsen, want je vormt een bedreiging voor het gevestigd belang en de enorme winsten van dien.
Waarom dan niet ingezet op betere beveiliging met security headers, betere en veiliger configuraties en settings, beter beveiligde connecties, betere monitoring en het direct aan de schandpaal nagelen van onveilige clouddiensten met sub-domeinen, die weldra niet meer van jou hoeven te zijn en een beveiliging te mooi om waar te zijn en dat dan ook daadwerkelijk blijkt te zijn.
Vaak heb ik het idee voor het gebied waar ik relevante kennis bezit en dat is 3rd party cold reconnaissance website security en error-hunting, hoe het in g*desnaam op sommige websites nog zo lang goed kon gaan eer het goed fout ging. Maar ja ik weet het niet en de arrogante nietsnutter zet mij weg als "lastig" voor zijn drammodel.
Vaak heb ik het idee voor het gebied waar ik relevante kennis bezit en dat is 3rd party cold reconnaissance website security en error-hunting, hoe het in g*desnaam op sommige websites nog zo lang goed kon gaan eer het goed fout ging. Maar ja ik weet het niet en de arrogante nietsnutter zet mij weg als "lastig" voor zijn drammodel.
Met dat laatste bedoel ik dat een enkel ingekocht iets opgehemeld moet worden als het ultieme van alles.
Informatie security is ondergeschikt het doel van het project de vinkjes bonus en het feestje.
Hetgeen dat laatste ogenschijnlijk in de weg staat wordt heel vaak een persoonlijke aanval als lastpost. Gangbare praktijk.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.