Barisan Prosesor AMD Zen 2 Dikabarkan Rentan Keamanan Pencurian Data
Jajaran prosesor AMD Zen 2 yang hadir di seri CPU Ryzen 3000/4000/5000 maupun prosesor server Epyc dikabarkan memiliki kerentanan yang baru-baru ini ditemukan oleh Peneliti keamanan Google Tavis Ormand.
Kerentanan tersebut disebut Zenbleed, eksploitasi tersebut dapat digunakan untuk mencuri data sensitif seperti kata sandi dan kunci enkripsi. Yang paling mengkhawatirkan, serangan bisa dilakukan dari jarak jauh.
Laporan tentang Zenbleed (CVE-2023-20593) telah dikirimkan ke AMD pada 15 Mei sebelum Tavis Ormand mengungkapkan detailnya minggu ini. Seperti kasus dalam serangan Spectre dan Meltdown, ini memanfaatkan teknik eksekusi spekulatif yang digunakan oleh prosesor modern untuk mengoptimalkan kinerjanya. Zenbleed lebih dekat dengan Meltdown yang lebih mudah dieksploitasi daripada Spectre.
Zenbleed bekerja dengan memanipulasi file register untuk memaksakan perintah yang salah prediksi. Seperti yang dijelaskan Ormandy:
“Bugnya bekerja seperti ini, pertama-tama anda perlu memicu sesuatu yang disebut XMM Register Merge Optimization2, diikuti dengan penggantian nama register dan vzeroupper yang salah prediksi. Ini semua harus terjadi dalam jendela yang tepat agar berfungsi”
“Kami sekarang tahu bahwa operasi dasar seperti strlen, memcpy, dan strcmp akan menggunakan register vektor – jadi kami dapat memata-matai operasi tersebut secara efektif di mana saja di sistem!”
“Ini berfungsi karena file register dibagikan oleh semua yang ada di inti fisik yang sama. Faktanya, dua hyperthread bahkan berbagi file register fisik yang sama.”
Cloudflare menetapkan bahwa kerentanan disebabkan oleh register yang tidak ditulis ke 0 dengan benar dalam keadaan mikroarsitektur tertentu. Hal ini dapat menyebabkan data dari proses lain dan/atau utas disimpan dalam register YMM, yang memungkinkan penyerang berpotensi mengakses informasi sensitif.
AMD mengatakan bahwa mereka telah merilis tambalan kode mikro untuk prosesor Epyc 7002 generasi kedua, tetapi banyak pembaruan untuk CPU Zen 2 lainnya tidak tiba hingga antara Oktober dan Desember. Selain itu, AMD mengatakan dampak kinerja yang dihasilkan dari pembaruan akan bervariasi tergantung pada beban kerja dan konfigurasi sistem.
Ormandy merekomendasikan pengguna Zen 2 untuk mendapatkan dan menerapkan pembaruan mikrokode AMD. Dia juga menyediakan solusi perangkat lunak yang melibatkan pengaturan bit kontrol untuk menonaktifkan beberapa fungsi yang mencegah eksploitasi. Ini dapat memengaruhi kinerja sistem, tetapi lebih baik aman daripada menyesal sampai pembaruan tiba.
