amd annuncia l'integrazione con l'iniziativa del PC core protetto di microsoft

AMD annuncia l'integrazione con l'iniziativa Microsoft Secured-Core per PC

In today's world, computer security is becoming very important due the exponential increase in malware and ransomware attacks. Various studies have shown that a single malicious attack can cost companies millions of dollars and can require significant recovery time. With the growth of employees working remotely and connected to a network considered less secure than traditional corporate network, employee's computer systems can be perceived as a weak security link and a risk to overall security of the company. Operating System (OS) and independent hardware vendors (IHV) are investing in security technologies which will make computers more resilient to cyberattacks. Microsoft ha recentemente annunciato la propria iniziativa per PC Secured-core che si affida allo sforzo congiunto dei partner OEM, dei fornitori di silicio e di loro stessi per fornire hardware, firmware e software profondamente integrati per una maggiore sicurezza dei dispositivi. In qualità di fornitore leader di silicio nel mercato dei PC, AMD sarà un partner chiave in questo sforzo con i processori imminenti che sono compatibili con il PC Secured-core.

In un sistema informatico, inizialmente il firmware di basso livello e il boot loader vengono eseguiti per configurare il sistema. Quindi la proprietà del sistema viene passata al sistema operativo la cui responsabilità è quella di gestire le risorse e proteggere l'integrità del sistema.

Nel mondo di oggi, gli attacchi informatici stanno diventando sempre più sofisticati, con le minacce rivolte al firmware di basso livello che stanno diventando sempre più importanti. Con questo paradigma in evoluzione nelle minacce alla sicurezza, è fortemente necessario fornire ai clienti finali una soluzione hardware e software integrata che offra una sicurezza completa al sistema. È qui che entra in gioco l'iniziativa PC Microsoft Secured-core. Un PC Secured-core consente di avviare in modo sicuro, proteggere il dispositivo dalle vulnerabilità del firmware, proteggere il sistema operativo dagli attacchi e impedire l'accesso non autorizzato a dispositivi e dati con controlli di accesso avanzati e sistemi di autenticazione.

AMD svolge un ruolo vitale nell'abilitare Secure-Core PC in quanto le funzionalità di sicurezza hardware di AMD e il software associato aiutano a salvaguardare gli attacchi del firmware di basso livello. Prima di spiegare in che modo AMD abilita il PC Secured-Core nei prodotti AMD Ryzen di nuova generazione, spieghiamo innanzitutto alcune funzionalità e funzionalità di sicurezza dei prodotti AMD.

pelli
L'istruzione SKINIT aiuta a creare una 'radice di fiducia' a partire da una modalità operativa inizialmente non attendibile. SKINIT reinizializza il processore per stabilire un ambiente di esecuzione sicuro per un componente software chiamato Secure Loader (SL) e avvia l'esecuzione della SL in modo da impedire la manomissione SKINIT estende la radice della fiducia basata sull'hardware al caricatore sicuro.

Caricatore sicuro (SL)
AMD Secure Loader (SL) è responsabile della convalida della configurazione della piattaforma interrogando l'hardware e richiedendo informazioni sulla configurazione al servizio DRTM.

AMD Secure Processor (ASP)
AMD Secure Processor è un hardware dedicato disponibile in ogni SOC che consente di avviare in modo sicuro l'avvio da livello BIOS in Trusted Execution Environment (TEE). Le applicazioni affidabili possono sfruttare le API standard del settore per sfruttare l'ambiente di esecuzione sicura del TEE.

AMD-V con GMET
AMD-V è un set di estensioni hardware per abilitare la virtualizzazione su piattaforme AMD. Guest Mode Execute Trap (GMET) è una funzione di accelerazione delle prestazioni del silicio aggiunta nella generazione successiva Ryzen che consente all'hypervisor di gestire in modo efficiente il controllo dell'integrità del codice e di proteggere dal malware.

Ora capiamo il concetto di base della protezione del firmware in un PC protetto. Il firmware e il bootloader possono caricarsi liberamente supponendo che si tratti di codice non protetto e sapendo che poco dopo l'avvio il sistema passerà a uno stato attendibile con l'hardware che impone al firmware di basso livello un percorso di codice noto e misurato. Ciò significa che il componente firmware viene autenticato e misurato dal blocco di sicurezza sul silicio AMD e la misurazione viene archiviata in modo sicuro nel TPM per un ulteriore utilizzo da parte dei sistemi operativi, tra cui la verifica e l'attestazione. In qualsiasi momento dopo l'avvio del sistema nel sistema operativo, il sistema operativo può richiedere il blocco di sicurezza AMD per rimisurare e confrontare i vecchi valori prima di eseguire ulteriori operazioni. In questo modo il sistema operativo può aiutare a garantire l'integrità del sistema dall'avvio al runtime. Il flusso di protezione del firmware sopra descritto è gestito dal blocco di servizio AMD Dynamic Root of Trust Measurement (DRTM) ed è composto dalle istruzioni SKINIT CPU, ASP e AMD Secure Loader (SL). Questo blocco è responsabile della creazione e del mantenimento di una catena di fiducia tra i componenti svolgendo le seguenti funzioni:

Misura e autentica firmware e bootloader
Raccogliere la seguente configurazione di sistema per il sistema operativo che a sua volta li convaliderà rispetto ai suoi requisiti di sicurezza e memorizzerà le informazioni per future verifiche.

  • Mappa della memoria fisica
  • Posizione dello spazio di configurazione PCI
  • Configurazione APIC locale
  • Configurazione APIC I / O
  • Configurazione IOMMU / Configurazione TMR
  • Configurazione di gestione dell'alimentazione
Mentre i metodi di cui sopra aiutano a salvaguardare il firmware, esiste ancora una superficie di attacco che deve essere protetta, la modalità di gestione del sistema (SMM). SMM è una modalità CPU per scopi speciali nei microcontrollori x86 che gestisce la gestione dell'alimentazione, la configurazione hardware, il monitoraggio termico e qualsiasi altra cosa che il produttore ritenga utile. Ogni volta che viene richiesta una di queste operazioni di sistema, al runtime viene richiamato un interrupt (SMI) che esegue il codice SMM installato dal BIOS. Il codice SMM viene eseguito con il livello di privilegio più alto ed è invisibile al sistema operativo. A causa di ciò, diventa un bersaglio attraente per attività dannose e può essere potenzialmente utilizzato per accedere alla memoria dell'hypervisor e modificare l'hypervisor.

Poiché il gestore SMI è generalmente fornito da uno sviluppatore diverso, il codice del sistema operativo e del gestore SMM in esecuzione con un privilegio superiore ha accesso alla memoria e alle risorse del sistema operativo / hypervisor. Le vulnerabilità sfruttabili nel codice SMM comportano la compromissione del sistema operativo Windows / HV e della sicurezza basata sulla virtualizzazione (VBS). Per aiutare a isolare SMM, AMD introduce un modulo di sicurezza chiamato Supervisore SMD AMD che viene eseguito immediatamente prima che il controllo venga trasferito al gestore SMI dopo che si è verificato un SMI. Il supervisore AMD SMM risiede nel blocco di servizio AMD DRTM e lo scopo del supervisore AMD SMM è di:
  • Impedisci a SMM di modificare l'hypervisor o la memoria del sistema operativo. Un'eccezione è un piccolo buffer di comunicazione delle coordinate tra i due.
  • Impedire a SMM di introdurre un nuovo codice SMM in fase di esecuzione
  • Impedisci a SMM di accedere a DMA, I / O o registri che possono compromettere l'hypervisor o il sistema operativo
To summarize, AMD will continue to innovate and push boundaries of security in hardware, whether it is DRTM service block to help protect integrity of the system, the use of Transparent Secure Memory Encryption (TSME) to help protect data or Control-flow Enforcement technology (CET) to help prevent against Return Oriented Programming (ROP) attacks. Microsoft is a key partner for AMD and as part of this relationship there is a joint commitment with the Secured-core PC initiative to improve security within software and hardware to offer a more comprehensive security solution to customers. Sources: Microsoft Secured-Core, AMD