AMD EPYC 與 RYZEN 處理器曝高危漏洞，AMD 緊急修復中

近日，Google 資安研究團隊發現 AMD EPYC 及 RYZEN 處理器存在一個高危安全漏洞（CVE-2024-56161），該漏洞可能允許攻擊者加載惡意 CPU 微碼，對機密計算環境造成威脅。AMD 已緊急發布針對 EPYC 伺服器處理器的固件更新，並計劃後續釋出 RYZEN 處理器的修復方案。此漏洞影響 ZEN 1 至 ZEN 4 架構的所有 AMD 處理器，可能帶來嚴重安全風險。

漏洞詳情與影響

根據 Google 資安團隊的報告，該漏洞源自 AMD 處理器在進行微碼更新時，使用了不安全的哈希函數進行簽名驗證。這使得攻擊者能夠繞過驗證機制，載入惡意的微碼更新，進一步影響 CPU 的運作。

攻擊者可利用該漏洞，破壞 AMD 安全加密虛擬化（SEV-SNP）技術所保護的機密計算環境，甚至影響動態信任根測量（Dynamic Root of Trust Measurement）。Google 研究人員透過概念驗證（PoC）展示了該漏洞的危害，他們成功修改微碼，使得 AMD ZEN 架構處理器上的 RDRAND 指令始終返回固定值「4」，並強制 CF 設定為 0，進而導致加密運算結果錯誤，使受保護的工作負載面臨安全風險。

這項攻擊不僅影響雲端伺服器和資料中心，也可能對企業內部使用 AMD 處理器的關鍵運算環境帶來風險。雖然該漏洞的利用條件較為嚴苛，需要攻擊者擁有本地管理員權限，但對於高安全性需求的企業與資料中心來說，仍然需要高度關注並及時更新。

AMD 已發布 EPYC 修復方案，RYZEN 用戶仍需等待

面對這一漏洞，AMD 已迅速行動，並率先為 EPYC 伺服器處理器發布 SEV 固件更新，以確保機密虛擬機（Confidential VM）的完整性和安全性。該修復方案能夠防止攻擊者利用該漏洞來繞過 SEV-SNP 技術的保護機制。

然而，截至目前，AMD 尚未公布針對 RYZEN 系列消費級處理器的修復時程。由於此漏洞需要具備本地管理員權限才能被利用，因此對於一般家庭用戶來說，短期內影響較小，但仍建議保持系統更新，並關注 AMD 官方的後續公告。

如何保護自己？

儘管此漏洞的攻擊門檻較高，但仍建議 AMD 處理器使用者採取以下措施來降低風險：

1. 企業與伺服器管理者：

   • 立即更新 EPYC 處理器的 SEV 固件，更新細節可參考 AMD 官方公告：AMD 安全公告。
   • 確保所有關鍵系統與虛擬機環境已安裝最新安全補丁，避免潛在攻擊風險。
   • 限制未經授權的管理員權限，防止惡意程式或駭客利用漏洞。

2. 一般使用者：

   • 定期更新 BIOS 和韌體，確保系統處於最新狀態。
   • 避免下載不明來源的軟體，降低惡意程式獲取管理員權限的風險。
   • 使用可靠的安全防護軟體，強化系統安全性。

Google 已公開 PoC，AMD 用戶應高度關注

目前，Google 資安團隊已將該漏洞的 PoC 程式碼公開至 GitHub（PoC 連結），這代表安全研究人員與攻擊者都可研究並利用此漏洞，AMD 使用者應更加警惕，特別是企業級伺服器與高安全需求的機密計算環境。

未來，AMD 預計針對 RYZEN 處理器發布相應修復方案，使用者應密切關注官方公告，並在第一時間進行更新，以確保系統安全。