Apa yang baru saja terjadi? AMD telah mengonfirmasi adanya kerentanannya dalam beberapa prosesor mereka, yang tidak sengaja terungkap melalui pembaruan BIOS beta dari Asus. Kerentanannya, yang disebut sebagai "kerentanannya verifikasi tanda tangan microcode," muncul sebelum AMD dapat mengungkapkannya secara resmi, yang memicu kekhawatiran di komunitas keamanan siber.

Kerentanannya pertama kali ditemukan oleh Tavis Ormandy, seorang peneliti keamanan di Project Zero milik Google. Ormandy menemukan referensi tentang kerentanannya dalam catatan rilis pembaruan BIOS beta dari Asus untuk salah satu motherboard gaming mereka. "Sepertinya seorang OEM telah membocorkan patch untuk kerentanannya CPU besar yang akan datang," tulis Ormandy dalam sebuah posting di mailing list publik.

Sejak itu, AMD mengakui masalah ini. Perusahaan tersebut belum merinci produk-produk mana saja yang terpengaruh, tetapi mereka menyatakan bahwa mitigasi sedang dikembangkan dan diterapkan.

Kerentanannya tampaknya terkait dengan microcode dan tampaknya dapat melewati proses yang memastikan hanya microcode resmi yang ditandatangani oleh AMD yang bisa dimuat ke dalam prosesor. Menurut AMD, untuk mengeksploitasi kerentanannya, tidak hanya diperlukan akses administrator lokal ke sistem yang ditargetkan, tetapi juga kemampuan untuk mengembangkan dan mengeksekusi microcode berbahaya. Tingginya tingkat kesulitan dalam mengeksploitasi kerentanannya menunjukkan bahwa meskipun kerentanannya serius, itu bukan sesuatu yang mudah dimanfaatkan oleh penyerang biasa.

credit: techspot

Meskipun dampak penuh dari kerentanannya belum diketahui, para ahli keamanan mulai berspekulasi tentang potensi konsekuensinya. Demi Marie Obenour, seorang pengembang perangkat lunak untuk Invisible Things, mengusulkan bahwa jika seorang penyerang dapat memuat microcode sembarangan, mereka mungkin bisa mengkompromikan fitur-fitur keamanan penting seperti System Management Mode (SMM), Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP), dan Dynamic Root of Trust for Measurement (DRTM).

Penemuan baru-baru ini mengenai kerentanannya verifikasi tanda tangan microcode bukanlah kejadian terisolasi. Selama bertahun-tahun, AMD telah menghadapi beberapa tantangan keamanan di berbagai lini produk mereka.

Pada Maret 2018, peneliti dari CTS Labs menemukan serangkaian kerentanannya yang memengaruhi prosesor Ryzen dan Epyc milik AMD. Kerentanannya ini, yang dikenal dengan nama RYZENFALL, MASTERKEY, CHIMERA, dan FALLOUT, menimbulkan risiko keamanan bagi prosesor baik untuk konsumen maupun untuk perusahaan. Mengeksploitasi kerentanannya ini memerlukan akses administratif, menurut AMD.

Pada Agustus 2024, kerentanannya yang lebih luas bernama "Sinkclose" terungkap. Kerentanannya dalam System Management Mode ini berpotensi membahayakan ratusan juta perangkat dengan risiko keamanan. Dalam kasus ini, mengeksploitasi kerentanannya memerlukan akses tingkat kernel, menjadikannya ancaman utama bagi "sistem yang sudah sangat terkompromi," menurut AMD pada saat itu.