Atualizações de BIOS são importantes!

Marcos FRM · 8 de agosto de 2023

Um novo dia e uma nova leva de falhas de segurança nos processadores.

AMD: Zenbleed - CVE-2023-20593

(microarquitetura Zen 2)

https://lock.cmpxchg8b.com/zenbleed.html

https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7008.html

Consertada com AGESA ComboAM4v2PI 1.2.0.C.

AMD: Inception - CVE-2023-20569

(microarquiteturas Zen 3 e Zen 4)

https://comsec.ethz.ch/research/microarch/inception/

https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7005.html

Consertada com AGESA ComboAM4v2PI 1.2.0.B e ComboAM5 1.0.8.0.

Intel: Downfall - CVE-2022-40982
(afeta uma gama enorme de processadores da marca)

https://downfall.page/

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00828.html

https://www.intel.com/content/www/us/en/developer/topic-technology/software-security-guidance/processors-affected-consolidated-product-cpu-model.html

Essas falhas às vezes podem ser mitigadas via software pelo sistema operacional, geralmente com impacto no desempenho. Mesmo assim, a forma garantida de estar seguro é aplicar a atualização via BIOS. Colo aqui o texto da AMD (Inception) para encorajar os colegas e esquecerem a história de "em time que está ganhando não se mexe". Com falhas de segurança, seu time está perdendo!

AMD recommends customers apply either the standalone µcode patch or a BIOS update that incorporates the µcode patch, as applicable, for products based on “Zen 3” and “Zen 4” CPU architectures. AMD plans to release updated AGESA™ versions to Original Equipment Manufacturers (OEM), Original Design Manufacturers (ODM) and motherboard manufacturers (MB) on the target dates listed below. Please refer to your OEM, ODM, or MB for a BIOS update specific to your product, which will follow after the dates listed below, as applicable.

Marcos FRM · 13 de maio de 2024

Agora, no início de 2024, os fabricantes de placas-mãe começaram a disponibilizar atualizações consertando Zenbleed (AGESA ComboAM4v2PI 1.2.0.C), que afeta os Zen 2.

A contramedida adotada pelos sistemas operacionais[*] causa, em alguns aplicativos que dependem bastante de AVX/AVX2 (conversão de vídeo e áudio, por exemplo), queda de desempenho de até ~15% (link). Com o novo microcódigo, é para o desempenho ser restaurado, pelo menos parcialmente... ainda no aguardo de novos testes para confirmar.

[*] https://github.com/torvalds/linux/commit/522b1d69219d8f083173819fde04f994aa051a98

13 de maio de 2024

Em 08/08/2023 às 15:46, Marcos FRM disse:

para encorajar os colegas e esquecerem a história de "em time que está ganhando não se mexe". Com falhas de segurança, seu time está perdendo!

Sou muito criticado por estimular a atualização do BIOS sempre que tiver firmware novo disponível. A ignorância sobre o assunto é quem cria esses tabus e dificulta muitas vezes a assertividade em dicas de soluções. Vou usar seu tópico como referência e tirar um pouco as marcas das "pancadas" que recebo. Basta ler e entender o processo, fazer exatamente como o fabricante determina, que tudo dará certo.

Marcos FRM · 13 de maio de 2024

Obrigado por abraçar a empreitada! Atualização de BIOS tem que ser aplicada imediatamente, ainda mais se contiver novo microcódigo.

Necklace · 27 de maio de 2024

Sempre que for atualizar o BIOS, é obrigatório fazer backup das chaves criptográficas ou descriptografar o sistema como um todo. Esse é um dos motivos de muita gente quebrar o sistema ao atualizar o BIOS, ainda mais hoje em dia com o Windows 11 deixando o Bitlocker como opção padrão na máquina.

Isso ainda piora quando o usuário comum sequer sabe o que é Bitlocker ou se ele está ativado ou não.

Em sistemas como Android ou IOS a criptografia de sistema é muito simples de se notar pelo próprio comportamento do dispositivo, mas para máquinas com LINUX/Windows isso complica para leigos...

Marcos FRM · 27 de maio de 2024

Bem lembrado. Não é toda atualização que reseta o TPM -- interessantemente, atualizações de BIOS de PCs de grife (quase?) nunca o fazem. No entanto, é prudente considerar que sempre será o caso. Quem usa a conta da Microsoft no Windows tem a chave do BitLocker salva nos servidores da empresa. Mesmo assim, salvar num pendrive nunca é demais.

Pos Vista · 29 de junho de 2024

Inclusive, nas versões Home do Windows 11 24H2, também é ativado o Bitlocker automaticamente, quando se faz uma instalação limpa e nessas versões, não existe a opção de desligá-lo. Só na versão PRO, que existe a opção de desligar o Bitlocker.

Marcos FRM · 10 de janeiro

Atrasadamente, adicionando a falha Sinkclose dos processadores AMD, que existe desde 2006. É menos grave pois requer acesso ao kernel do sistema operacional para ser explorada.

https://info.defcon.org/event/?id=54863

https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7014.html

A AMD corrigiu dos Zen 2 para cima.

AM4: 1.2.0.Cc (substitui a 1.2.0.Cb, que deixava os Ryzen 3000 de fora)

AM5: 1.2.0.1a

Foram lançadas pelos fabricantes de placas-mãe por volta de setembro do ano passado (2024).

Necklace · 12 de janeiro

Em 10/01/2025 às 16:14, Marcos FRM disse:

Atrasadamente, adicionando a falha Sinkclose dos processadores AMD, que existe desde 2006. É menos grave pois requer acesso ao kernel do sistema operacional para ser explorada.

https://info.defcon.org/event/?id=54863

https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7014.html

A AMD corrigiu dos Zen 2 para cima.

AM4: 1.2.0.Cc (substitui a 1.2.0.Cb, que deixava os Ryzen 3000 de fora)

AM5: 1.2.0.1a

Foram lançadas pelos fabricantes de placas-mãe por volta de setembro do ano passado (2024).

Acesso ao kernel significa acesso físico à máquina, certo? Se for o caso, não vejo muita motivação para atualizar.

Marcos FRM · 12 de janeiro

Não precisa de acesso físico. No entanto, explorar a falha é difícil pois o código precisa rodar no ring 0, que é restrito a componentes do sistema operacional (considere um driver de dispositivo, por exemplo). Mesmo assim, caso a falha seja explorada, é muito grave, pois dá acesso ao modo SMM do processador a código malicioso, que abre possibilidades altas de comprometer o sistema, podendo até regravar partes do BIOS (a demonstração dos pesquisadores faz exatamente isso!), modificar variáveis de boot, modificar chaves PK, KEK, etc (efetivamente quebrando o Secure Boot). É altamente recomendável atualizar.

Necklace · 12 de janeiro

1 minuto atrás, Marcos FRM disse:

Não precisa de acesso físico. No entanto, explorar a falha é difícil pois o código precisa rodar no ring 0, que é restrito a componentes do sistema operacional (considere um driver de dispositivo, por exemplo). Mesmo assim, caso a falha seja explorada, é muito grave, pois dá acesso ao modo SMM do processador a código malicioso, que abre possibilidades altas de comprometer o sistema, podendo até regravar partes do BIOS (o exploit do pesquisadores faz exatamente isso!), modificar variáveis de boot, modificar chaves PK, KEK, etc (efetivamente quebrando o Secure Boot), etc. É altamente recomendável atualizar.

Só processadores AMD contam com falhas tão graves assim? Que bizarrice.

Marcos FRM · 12 de janeiro

Editei minha mensagem anterior, pois foi na demonstração que eles mostram o BIOS sendo regravado. Não olhei se o exploit em si faz isso ou algo adicional/diferente.

A Intel tem uma penca. ARM também. A questão é que agora atualizações de BIOS são correções de segurança. Tem que aplicar. Essa falha especificamente é menos grave do que as que podem ser exploradas a partir do ring 3 (por programas no espaço de usuário, um Chrome ou Firefox, por exemplo). Ainda assim, temos que tapar os buracos sempre que há correção...