AMD từ chối trả thưởng 10.000 USD cho lỗi bảo mật nghiêm trọng trong trình cập nhật tự động
Một nhà nghiên cứu bảo mật đã phát hiện lỗ hổng nghiêm trọng cho phép tấn công từ xa trong trình cập nhật tự động của AMD, nhưng công ty này đã từ chối trả thưởng 10.000 USD và mất tới 124 ngày để khắc phục. Mặc dù đã vá lỗi, bản cập nhật mới vẫn sử dụng phương thức kiểm tra tính toàn vẹn yếu kém, gây lo ngại về an ninh cho người dùng.
Phát hiện ra một lỗ hổng bảo mật nghiêm trọng thường được tưởng thưởng xứng đáng, nhưng trường hợp của nhà nghiên cứu Paul LaRosa với AMD lại là một ngoại lệ đáng buồn. Trình cập nhật tự động của AMD đã từng tải phần mềm qua các kết nối HTTP không an toàn, cho phép kẻ tấn công trên mạng chèn mã độc vào hệ thống của bạn trong quá trình cập nhật thông thường. Dù phát hiện ra lỗi này cho phép thực thi mã từ xa (remote code execution), LaRosa không nhận được khoản tiền thưởng 10.000 USD nào. Thay vào đó, AMD mất tới bốn tháng để khắc phục và không trả bất kỳ khoản bồi thường nào.
Lỗ hổng biến quy trình cập nhật thành "con đường cao tốc" cho mã độc
Quy trình cập nhật đáng tin cậy đã trở thành con đường mở cho việc phát tán phần mềm độc hại.
Paul LaRosa đã phát hiện ra rằng trình cập nhật tự động trên Windows của AMD—được sử dụng bởi Ryzen Master và các tiện ích khác—đang tải các bản cập nhật thông qua các kết nối HTTP không được mã hóa. Bất kỳ ai đứng giữa mạng của bạn đều có thể thực hiện cuộc tấn công "người đứng giữa" (Man-in-the-middle), thay thế các tệp trình điều khiển hợp pháp bằng phần mềm độc hại. Hãy tưởng tượng nó giống như việc bạn đặt đồ ăn giao tận nhà nhưng để người lạ chặn và thay đổi bữa ăn của bạn giữa nhà hàng và cửa nhà bạn. Hệ thống của bạn sẽ vui vẻ cài đặt bất cứ thứ gì kẻ tấn công đưa ra, tin rằng nó đến từ AMD.
Lỗi này ảnh hưởng đến bạn nếu bạn đã sử dụng các tiện ích của AMD có xử lý cập nhật tự động. Lỗ hổng này tạo điều kiện cho kẻ tấn công đạt được quyền thực thi mã từ xa, về cơ bản là kiểm soát máy tính của bạn thông qua quy trình cập nhật mà người dùng tin tưởng.
124 ngày trì hoãn và lý do từ chối trả thưởng
Thời hạn công bố 90 ngày ban đầu đã bị kéo dài thành một cuộc chờ đợi kéo dài bốn tháng.
AMD thừa nhận lỗ hổng là có thật nhưng từ chối trả tiền thưởng, viện dẫn các điều loại trừ trong chính sách đối với các cuộc tấn công kiểu "người đứng giữa". Công ty đã yêu cầu LaRosa hoãn công bố thông tin vào tháng 2, hứa hẹn sẽ khắc phục trong vòng 90 ngày—đây là thực tế tiêu chuẩn trong nghiên cứu bảo mật. Sau đó, AMD lại xin thêm thời gian. Và rồi thêm nữa. Bản vá cuối cùng đã được phát hành sau 124 ngày kể từ khi báo cáo ban đầu.
So sánh mốc thời gian này với các thực hành bảo mật tốt nhất: các lỗ hổng nghiêm trọng nên được vá trong vòng 5-14 ngày, chứ không phải hơn bốn tháng. Một số lỗi đòi hỏi sự khẩn trương, đặc biệt là những lỗi ảnh hưởng đến cơ chế cập nhật tự động mà người dùng tin tưởng để giữ an toàn cho họ.
Bản vá lỗi vẫn còn điểm yếu về bảo mật
Bản vá đã giải quyết một vấn đề nhưng để lại những điểm yếu bảo mật sâu hơn chưa được chạm tới.
AMD đã thiết kế lại trình cập nhật tự động để sử dụng các bản tải xuống được mã hóa, nhưng bản vá này lại hé lộ những vấn đề sâu xa hơn. Phần mềm đã cập nhật vẫn xác thực các tệp tải xuống bằng CRC32—một loại checksum (tổng kiểm) có độ bảo mật thấp như một cái cửa lưới. Phần mềm hiện đại nên sử dụng các bản cập nhật được ký hiệu mật mã (cryptographically signed) không thể bị làm giả, thay vì các tổng kiểm mà kẻ tấn công quyết tâm có thể thao túng.
Vụ việc này phơi bày cách các nhà cung cấp lớn xử lý bảo mật: khắc phục vấn đề ngay lập tức, tránh trả tiền cho các nhà nghiên cứu thông qua các kẽ hở chính sách, và để lại những điểm yếu cơ bản vẫn còn đó. Người dùng tự hỏi còn bao nhiêu trình cập nhật "an toàn" khác cũng dễ bị tổn thương tương tự, và liệu các công ty có quan tâm đến ngân sách săn lỗi của họ hơn là an ninh hệ thống của người dùng hay không.
