Акцент на AMD EPYC сделан потому, что для этих процессоров показана возможность обхода системы безопасности AMD SEV или . По данным Google, потенциальный злоумышленник для загрузки вредоносного микрокода должен иметь права администратора в системе. Отдельно указывается, что из виртуальной машины, запущенной на сервере, загрузить «подготовленный» микрокод невозможно. Технология SEV предусматривает защиту именно от сценария «недобросовестного администратора». С ее помощью данные виртуальных машин в оперативной памяти шифруются, а также проводится ряд проверок, позволяющих определить попытки вмешательства в работу виртуальной машины или доступа к конфиденциальным данным.
Технология AMD SEV в контексте безопасности упоминалась совсем недавно. В конце прошлого года мы об интересной атаке BadRAM, разработанной исследователями из университетов Бельгии, Германии и Великобритании. Там, чтобы обойти меры защиты виртуальных машин, работающих на сервере с процессором AMD, использовали модифицированный модуль памяти. Прошивка модуля сообщала процессору о том, что объем памяти в два раза больше, чем есть на самом деле. Это позволяло (после довольно сложной подготовки) читать данные виртуальной машины в открытом виде.
Очевидно, что уязвимость, обнаруженная в Google, делает подобную атаку гораздо проще. Не нужно перепрошивать модуль памяти, достаточно загрузить в процессор вредоносный микрокод. Новая уязвимость получила идентификатор CVE-2024-56161 и рейтинг по шкале CVSS в 7,2 балла. Она затрагивает процессоры AMD EPYC серий 7001, 7002, 7003 и 9004. Проблему с вредоносным микрокодом решили с помощью полезного обновления микрокода, который будет распространен производителями совместимых материнских плат.
Что еще произошло
Исследователи «Лаборатории Касперского» опубликовали о современных «нигерийских мошенниках». Это классическое интернет-мошенничество с многолетней историей, в котором случайным людям рассылается спам с предложением поучаствовать в дележе большой суммы наличных. Современные «нигерийские мошенники» прикидываются богатыми благодетелями, представителями банков, рассылающих компенсации клиентам, организаторами лотереи и даже представителями президента США.
Не менее интересное экспертов «Лаборатории Касперского» посвящено вредоносным библиотекам в составе приложений для мобильных устройств. Функционал библиотеки нетривиален: она сканирует файлы в галерее изображений на телефоне, распознает текст и ищет (по особым ключевым словам) коды восстановления доступа к криптокошелькам, которые владелец телефона мог сохранить в виде скриншота. Примечательно, что приложение с вредоносным довеском было размещено не только в официальном магазине для платформы Android (что происходит регулярно), но и в Apple Store (а вот это случается относительно редко).
В февральском наборе патчей для Android уязвимость в ядре операционной системы, которая активно эксплуатировалась на момент обнаружения. Уязвимость CVE-2024-53104 в драйвере USB Video Class позволяет повышать привилегии в системе.
Опасные уязвимости на прошлой неделе были также в браузерах Google Chrome (версии 133) и Mozilla Firefox (версии 135).
Проблемы также были обнаружены и в роутерах. Компания Netgear обновление прошивки для точек доступа Wi-Fi моделей WAX206, WAX214v2 и WAX220, а также для маршрутизаторов серии Nighthawk XR1000, XR1000v2 и XR500. Критические уязвимости в этих устройствах могут приводить к выполнению произвольного кода и обходу системы аутентификации. А вот уязвимости в некоторых устройствах ZyXEL серии DSL CPE закрыты , несмотря на их активную эксплуатацию. В соответствующем производитель рекомендует заменить устройства и указывает, что они не поддерживаются уже много лет.
