Kerentanan yang baru-baru ini terungkap dalam verifikasi tanda tangan microcode CPU AMD telah memicu diskusi intens di kalangan komunitas teknis, khususnya mengenai implikasinya terhadap pembangkitan angka acak dan keamanan sistem. Kerentanan ini, yang mempengaruhi CPU Zen 1 hingga Zen 4, memungkinkan penyerang dengan hak akses administrator untuk memuat patch microcode berbahaya, menimbulkan kekhawatiran tentang keamanan operasi kriptografi.
Perangkat Keras yang Terdampak:
- AMD Zen 1
- AMD Zen 2
- AMD Zen 3
- AMD Zen 4
Kontroversi RDRAND
Demonstrasi proof-of-concept, yang memaksa instruksi RDRAND untuk secara konsisten mengembalikan angka 4, telah kembali memicu perdebatan tentang pembangkitan angka acak berbasis CPU. Diskusi komunitas mengungkapkan bahwa meskipun implementasi Linux menggunakan RDRAND sebagai salah satu dari beberapa sumber entropi, kerentanan ini mengungkap kekhawatiran yang lebih dalam tentang kepercayaan tingkat CPU. Seperti yang dicatat oleh seorang ahli teknis dalam komentar:
Masalahnya adalah, semua cara lain yang dapat membahayakan kernel dari microcode setidaknya secara teoritis dapat terdeteksi. Jika RDRAND secara diam-diam mengganti semua angka acak Anda dengan AES dari waktu saat ini, Anda tidak dapat mengetahuinya hanya dengan mengamati perilakunya.
Implikasi Keamanan Cloud
Kerentanan ini memiliki signifikansi khusus untuk lingkungan komputasi awan yang menggunakan Secure Encrypted Virtualization dengan Secure Nested Paging ( SEV-SNP ) dari AMD. Penyedia layanan cloud dan pengguna kini harus bergulat dengan verifikasi kepercayaan, meskipun AMD telah menyediakan mekanisme melalui nilai TCB dalam laporan atestasi SNP untuk mengkonfirmasi penerapan perbaikan.
Pemahaman Teknis dan Dampak Masa Depan
Respons komunitas menyoroti implikasi menarik di luar masalah keamanan. Para peneliti mencatat bahwa kemampuan untuk memuat microcode kustom dapat memajukan upaya rekayasa balik CPU, meskipun ini harus diseimbangkan dengan risiko keamanan. Waktu pengungkapan tampaknya dipercepat oleh kebocoran tidak sengaja dalam BIOS beta ASUS, menambahkan lapisan lain pada cerita ini.
Linimasa:
- Dilaporkan: 25 September 2024
- Diperbaiki: 17 Desember 2024
- Diungkapkan: 3 Februari 2025
- Rilis detail lengkap: 5 Maret 2025
Mitigasi dan Pemulihan Kepercayaan
AMD dan penyedia layanan cloud utama sedang bekerja untuk mengatasi kerentanan ini, dengan perbaikan yang telah didistribusikan di bawah embargo kepada pelanggan utama. Namun, insiden ini menimbulkan pertanyaan mendasar tentang kepercayaan dan verifikasi perangkat keras. Komunitas keamanan menekankan bahwa membangun kembali kepercayaan pada sistem yang terdampak akan membutuhkan lebih dari sekadar patch sederhana, terutama untuk beban kerja keamanan tinggi.
Referensi: AMD: Microcode Signature Verification Vulnerability