La lezione dei “bachi” nei processori AMD

La lezione dei “bachi” nei processori AMD

unnamedI primi giorni del 2018 sono iniziati con Spectre e Meltdow, due pericoli legati ai processori Intel. Sembravano casi isolati, invece il mese scorso è arrivata una notizia altrettanto preoccupante.
Alcuni ricercatori si sono ritrovati di fronte ad una “bella” sorpresa: almeno una dozzina di vulnerabilità nel modulo AMD Secure Processor, che colpiscono alcune famiglie di processori AMD (amdflaws.com) consentendo di bypassare sistemi di protezione avanzata come AMD’s Secure Encrypted Virtualization, Firmware Trusted Platform Module (funzionalità importanti, usate dai sistemi operativi per proteggere informazioni sensibili nel caso di infezioni da malware). I ricercatori hanno dimostrato che è possibile aggirare il meccanismo di Windows Defender Credential Guard, la funzionalità presente nelle recenti versioni del sistema operativo, che usa meccanismi di virtualizzazione per isolare informazioni accessibili solo al kernel e a software con privilegi elevati.

Perché preoccuparsi?
I bachi sono caratterizzati da due elementi: persistenza e invisibilità. Cosa significa? Una volta che il codice malevolo è iniettato nel firmware del processore, non è più rilevabile da normali anti-malware e può resistere anche alla formattazione (non essendo residente sui dischi rigidi). Il tutto senza alcun accesso fisico al computer!

La risposta di AMD
AMD ha confermato che le vulnerabilità sono reali e prontamente ha rilasciato patch correttive. Il produttore però ha evidenziato una cosa importante: queste falle si possono sfruttare solo se il software malevolo gira con privilegi amministrativi locali. Situazione che presuppone già una compromissione totale.

“In reti aziendali i computer possono essere compromessi: attraverso attacchi di phishig, exploits zero-day o utenti che scaricano il file sbagliato”, risponde il CTS Labs, “Reti con un buon livello di sicurezza devono essere attrezzate per gestire queste tipologie di attacchi quotidiani.”

Considerazioni utili sul caso
La scoperta di queste nuove vulnerabilità ci ricorda una tra le più importanti best practice al mondo in tema di sicurezza delle informazioni: evitare il più possibile l’accesso con privilegi di amministratore. Questo vale per tutti gli utenti finali, il cui operato quotidiano non dovrebbe necessitare di permessi elevati, così come per gli amministratori di sistema.

Come tutelarsi?
Rispetto agli admin, utilizzando profili amministrativi diversi per particolari operazioni e task di manutenzione, minimizzando così le probabilità che software malevoli o errore umano possano danneggiare dati e infrastruttura. Questi accorgimenti possono essere utili anche per la semplificazione della gestione normativa, tra cui ricordiamo:

  • Il provvedimento del Garante della Privacy “amministratori di sistema” sul tema della verifica dell’operato dell’amministratore di sistema, con cadenza almeno annuale.
  • Il GDPR (in vigore prossimamente) che richiama il principio della responsabilizzazione (accountability) secondo cui il titolare del trattamento dei dati è tenuto a mettere in atto adeguate misure tecniche ed organizzative, per dimostrare di effettuare le operazioni di trattamento dati in conformità ai princìpi fondamentali della disciplina.

Conclusioni
Episodi come quelli di AMD e Intel ci ricordano che la sicurezza totale non esiste. Anche si adottano le più valide soluzioni e ci si affida ai migliori fornitori, i rischi sono sempre “dietro l’angolo”. È importante riconoscere le potenziali minacce per tempo e ridurle con azioni correttive e preventive!
Come riuscirci? Con il Security Assessment. Infatti, solo grazie ad una corretta valutazione del rischio è possibile trovare le migliori strategie per monitorare e mettere in sicurezza i sistemi ed adottare tutti gli accorgimenti utili a ridurre la probabilità e l’impatto di potenziali incidenti.