AMD内部队伍正在调查关于PSP/Promontory 芯片组“漏洞”的“报告”

本文地址 http://www.moepc.net/?post=4553

AMD的内部队伍正在调查该“报告”。

“We have just received a report from a company called CTS Labs claiming there are potential security vulnerabilities related to certain of our processors. We are actively investigating and analyzing its findings. This company was previously unknown to AMD and we find it unusual for a security firm to publish its research to the press without providing a reasonable amount of time for the company to investigate and address its findings. At AMD, security is a top priority and we are continually working to ensure the safety of our users as potential new risks arise. We will update this blog as news develops.”

“漏洞”可能是真的，也可能是无中生有。只是此事背后的性质可能有着根本上的不同。对比1月份Google Project Zero公布Meltdown和Spectre的情景就很明显了。

GPZ给了至少90天时间给各厂商进行修复准备（实际上有半年时间），然后才选择公布漏洞，给出的白皮书也很详细，结尾还有Reference，参考文献。

选自GPZ的Meltdown白皮书

CTS只给了AMD 不到24小时时间反应，声称AMD需要好几个月甚至一年时间都无法修复这些漏洞。【3月21日的发布直接将其证伪，AMD将在数周内放出补丁修复所有漏洞】“白皮书”也只有大概介绍，没有Proof of concept，没有用例。实际信息为零，只有对AMD CPU/芯片组简单的介绍。CTS的理由是为了保证安全。结尾没有参考文献，你只能找到Disclaimer，为了防止将来被告用的？

CTS给的“白皮书”

任何有声望的安全团队都不会这样发表漏洞相关的信息。这次发表的方式非常奇怪，甚至可以说可疑。

给不到一天这么短的时间，并不像是一个“安全公司”该有的做法，更像是公关公司做出的抹黑行为。

下面这两段内容为CTS发布

CTS声称“漏洞”有4种，MasterKey、Chimera HW/SW、Ryzenfall和Fallout。白皮书中称MasterKey影响EPYC/Ryzen，Chimera影响Ryzen/ Ryzen Pro（300系芯片组），Ryzenfall和Fallout差不多，Ryzenfall影响Ryzen/Ryzen Pro/Ryzen Mobile，Fallout影响EPYC。

CTS说均只存在于AMD PSP和Promontory 芯片组里。

PSP上的是MasterKey、Ryzenfall和Fallout

Promontory芯片组上的是Chimera HW/SW。

说明和Zen核心没有关系，只是Zeppelin和Raven都集成了PSP才会受此影响。PSP的漏洞原本就存在一些，基本可以通过固件更新解决，Promontory芯片组则是ASMedia的后门。

【个人推测，3月21日AMD的发布也证实了我的推测。】

如果是ASMedia芯片的后门，不限于Promontory芯片组的话，很可能用了ASMedia控制器的Intel主板也有漏洞。

现代的所有处理器和芯片组设计都有后门/漏洞，无一例外。

所有“漏洞”都需要管理员特权提升，要本地管理员权限，还要签名过的驱动，MasterKey甚至要让你刷修改过的BIOS。如果都已经被这样控制了，我觉得可能是别的地方出了更大的问题。被攻击者拿到这些权限，无论哪个厂商的系统基本都会gg，不光是AMD。都把钥匙给人家了，被偷还能怪谁？

CTS的背景

CTS联合创始人里有个叫Yaron Luk-Zilberman的，是NineWells Capital对冲基金的创始人，和股票市场有直接的利益联系。CTS位于以色列，2017年才成立，之前没有任何人听说过的公司。他们网站的dislaimer也说明，发布的内容不一定属实，还可能涉及利益交换。

哦，他们的网站名字就叫 amdflaws.com。花了1天建好，马上就公布了“漏洞”，为了造成最大效果。这网站2月22日才在godaddy注册，注册还是用的代理（Proxy, LLC），为了隐藏身份，这就更可疑了。

whois信息

Youtube也是3天前刚注册的，关掉了评论功能

你见过别家的漏洞有这么制作精良的网站？还专门注册个域名？现在还没有intelflaws.com这玩意。

amdflaws.com

Meltdown和Spectre的网站，制作简洁明了，没有吓人的logo

起个跟瘟疫公司一样吓人的Logo和名字我就不说了。在造成恐慌上的效果怕是拔群。

作为一家“安全公司”，CTS Labs的网站连HTTPS都没用

Redditor还发现他们录视频用的背景完全是伪造的，用绿幕+网上找的模板图片伪造出的“办公室”、“服务器机房”。有时间去搞绿幕录视频，却没时间去提前通知AMD？

还有Redditor发现CTSLabs就是Flexagrid Systems Inc.，CrowdCores Adware 流氓软件的开发商。

介绍页只改了名字，连内容都一模一样。

公司、网站、白皮书的信息，整个都很可疑。目前没有任何“漏洞”成功实施的证据。

Viceroy Research也有参与？

同时臭名昭著的Viceroy Research很可能也参与了此事，Viceroy Research在漏洞消息发布后第一时间就提供了一份长达25页的PDF，不由得让人觉得背后有蹊跷。

这次Viceroy Research发表的报告文章，将其动机暴露无遗。把AMD股票评定为”无价值”，声称”AMD除了申请破产之外别无选择”。

In light of CTS’s discoveries, the meteoric rise of AMD’s stock price now appears to be totally unjustified and entirely unsustainable. We believe AMD is worth $0.00 and will have no choice but to file for Chapter 11 (Bankruptcy) in order to effectively deal with the repercussions of recent discoveries.

Viceroy Research因发布虚假报告+做空股票而臭名远扬。出的报告破绽百出，无凭无据，纯粹是为了操作股价从中获利。虚假报告而产生的FUD很容易造成投资人的恐慌。尤其是那些无知者。

曾有不少受到虚假报告后，股价受影响的公司（Capitec、ProSieben、Treasury、Steinhoff）要求FSB和JSE介入对其操纵市场行为的调查。据称Viceroy Research还可能触犯了相关法规。

Capitec Bank、ProSieben的股票曾下跌10-20%之多，而Steinhoff被做空的已经无力回天，不过Steinhoff原本账目就有点问题。

然而Viceroy Research 恶意操纵市场从中获利的行为是事实。Viceroy受到相关部门的多项调查，鉴于FSB的办事效率和以往案件，受到处罚的概率很小。

可以参考下面的文章。

https://m.fin24.com/Economy/treasury-slams-viceroys-capitec-report-as-reckless-20180201

https://www.fin24.com/Companies/Financial-Services/viceroy-report-baseless-filled-with-factual-errors-capitec-20180130

https://www.nytimes.com/reuters/2018/03/12/business/12reuters-prosieben-media-accounts.html

https://www.moneyweb.co.za/in-depth/investigations/viceroy-unmasked/

相关评论

Intel撇清和CTS Lab的关系，表示与此事没有关联。

David Kanter的评论：

So some of these security exploits are potentially serious, if we can confirm that they exist. Normally that is why researchers publish PoCs. That being said, these are exploits that can only be used once you have root access.

That should not distract from the context that this appears like a scam.

Linus Torvalds的评论：

It looks like the IT security world has hit a new low.
If you work in security, and think you have some morals, I think you might want to add the tag-line 

  “No, really, I’m not a whore. Pinky promise”

to your business card. Because I thought the whole industry was corrupt before, but it’s getting ridiculous.
At what point will security people admit they have an attention-whoring problem? 

>Security people need to understand that they look like clowns because of it.

03/15更新：CTS声称将PoC交给了几家第三方公司验证，有一家叫Trail of Bits的说CTS给的代码能够工作。据说CTS还给了他们16000美金报酬。被CTS提供漏洞的公司有Dell、微软等，全都是AMD的合作伙伴。

但就和我开头说到的一样，主要问题并不是漏洞，而是背后的动机。实际上漏洞的严重性并没有CTS声称的那么可怕。

David Kanter是这么形容的：所有漏洞都要root权限，如果都被入侵者拿到了root权限，你已经gg了。就像别人闯进你家然后安个摄像头监视你一样。

03/16更新：Ian/DK与CTS的访谈大致内容，更详细的内容建议去Anandtech看：https://www.anandtech.com/show/12536/our-interesting-call-with-cts-labs

CTS在与Ian Cutress/David Kanter的对谈中暴露出了许多问题，驴头不对马嘴的地方很多，不少问题（将近一半）还不敢正面回答。

CTS一面说自己和以色列的Unit 8200有关，声称自己在安全领域有多年经验，另一面又用“没有经验，这是我们第一次”来推脱发表漏洞时所做的各种不合常理的行为。

而且CTS这次连CVE都没申请。哪个公司发布漏洞会不事先申请CVE？有了CVE，能够清楚明白地知道指的到底是哪个漏洞。

Ian问到为什么只给了AMD 24小时时间，如果换做Meltdown或者Spectre（和Intel有关的话），是否也会采取相同的做法。CTS回复说“ I think that it would have depended on the circumstances of how we found it, how exploitable it was, how reproducible it was. I am not sure it would be the case. Every situation I think is specific.”

也就是说，根据情况不同，处理方式不同。如果是Intel的话可能就大不一样。

比如ASMedia的漏洞不光存在于AMD芯片组，所有用了ASMedia控制器的主板，包括Intel主板都有一样的后门，然而CTS只把AMD拿出来说事。

这次的重点，也就是漏洞对服务器/企业的影响，CTS一直咬着说企业里也有不少用台式机或者工作站，这些普通电脑没有VM保护，所以只需要root权限，并不需要物理接触。后来却又直言承认这些漏洞对使用VM的服务器没有影响，想要突破hypervisor太难，本身入侵者的权限就很低。虚拟环境下更没法更新固件或者BIOS。除非被攻击者物理上接触服务器，才会有影响。试问现在哪个服务器不用VM？被别人入侵机房无论是哪个服务器都没办法，包括Intel和AMD。

这次的漏洞和Meltdown/Spectre不同，Meltdown/Spectre不需要特制的软件也不需要root权限就能提权。CTS找到的漏洞从一开始就要求root权限。

CTS在公布漏洞的同时，又拒绝发表任何详细信息，限制了其他所有人验证漏洞的可能。

和Trail of Bits的金钱交易，CTS拒绝评论，然而Trail of Bits自己之前已经证明拿了16000刀做第三方验证费。

Ian和David Kanter一再追问CTS的客户，或者说背后的推动者，CTS拒绝回答，别说雇主名字了，连雇主所在的行业领域都不敢说。直接找了个理由推脱下线。

David Kanter在访谈过后认为结论已经显而易见。CTS对硬件设计的基本原则一无所知，在最后被问到公司时仓皇而逃。“It’s telling how quickly they bailed on the call once I started asking about their company. Also, they seemed to not understand “chicken bits” at all or the basic HW design principles. The ramblings about FPGAs were fascinating.”

3月21日更新：AMD做出了初步回应。

据Bloomberg报道称，AMD还请求相关部门介入对股票交易异常行为的调查。

和此前个人的推断一致，所有漏洞和Zen架构并没有关系。MASTERKEY/RYZENFALL/FALLOUT影响的是PSP，CHIMERA影响的是Promontory芯片组。这些漏洞和年初GPZ找到的Meltdown/Spectre也没有关系。

回应中也证实所有漏洞都需要管理员权限。而且所有现代操作系统/企业级hypervisor均有有效的安全防范措施，比如Windows的Microsoft Windows Credential Guard。利用这些漏洞是很困难的。

最后，AMD将在数周内通过BIOS更新修复全部漏洞。补丁对性能没有影响。

在文中我已经说过很多遍了，主要问题并不是漏洞，而是背后的动机。CTS这次的性质可以说是很恶劣的。

CTS声称只给AMD留24小时是因为AMD需要几个月甚至一年时间都没法修复这些漏洞，然而事实是AMD只需要数周。

CTS发布的“白皮书”里还把漏洞联系到Zen架构上，并通过夸大漏洞威胁性制造恐慌。本身CTS和股票市场就有利益联系，再加上Viceroy Research，很明显就是为了做空股票进行获利的行为，被夸大的“漏洞”只是手段罢了。那为什么只针对AMD？那你可能就要问问CTS背后那位匿名雇主了。

如果收到进一步的确认信息会更新在这里。

本文地址 http://www.moepc.net/?post=4553

MOEPC.NET编辑，转载请保留出处。