Bulan lalu, Tim Keamanan Google mengidentifikasi kerentanan keamanan dalam CPU AMD mulai dari Zen 1 hingga Zen 4 yang dijuluki “EntrySign” yang memungkinkan pengguna jahat dengan akses ring 0 untuk memuat patch mikrokode yang tidak ditandatangani.
Pembaruan buletin keamanan AMD kini menambahkan Zen 5, dalam semua bentuknya di seluruh server dan lini produk utama, ke dalam daftar infrastruktur yang terdampak.
Cacat keamanan tersebut memanfaatkan verifikasi tanda tangan yang tidak tepat dalam pemuat patch mikrokode AMD, yang memungkinkan pihak ketiga untuk mengeksekusi mikrokode sembarangan pada prosesor Anda.
EntrySign (ID: AMD-SB-7033) menargetkan mikrokode CPU Anda, yang merupakan instruksi tingkat rendah yang pada dasarnya menjembatani kesenjangan antara kode mesin (biner) dan perangkat keras fisik.
CPU Anda dikirimkan dengan mikrokode dasar dari pabrik, tertanam dalam Read-Only Memory (ROM), dan tidak dapat diubah. Sekarang, jika kerentanan ditemukan setelah CPU mulai dijual, produsen seperti Intel dan AMD dapat dengan mudah mengeluarkan mikrokode baru sebagai perbaikan (misalnya kasus ketidakstabilan Raptor Lake).
Meskipun benar bahwa mikrokode bawaan CPU tidak dapat diubah, Sistem Operasi modern atau firmware sistem Anda (BIOS/UEFI) dapat memuat pembaruan mikrokode selama tahap awal booting. Namun, patch ini hanya bertahan selama sesi tertentu.
Dengan mengungkap kelemahan dalam algoritma hashing AMD, EntrySign dapat melewati proses validasi tanda tangan dan menjalankan mikrokode yang berpotensi tidak aman. Kerentanan tersebut berasal lebih dalam di server, dan mampu membahayakan teknologi SEV/SEV-SNP AMD (ID: AMD-SB-3019) yang berpotensi mengakibatkan akses tidak sah ke data dari mesin virtual.
Persyaratan utamanya adalah akses ke ring 0, atau hak istimewa tingkat kernel, pada sistem target. Demikian pula, patch ini tidak bertahan setelah sistem dinyalakan ulang, sehingga menurunkan alarm keamanan.
Acara yang lebih kreatif/akademis pun terbuka, seperti tantangan di RVSPOC (RISC-V Software Porting and Optimization Championship) 2025 yang menugaskan kontestan untuk menjalankan biner RISC-V pada perangkat keras berbasis Zen, dengan memanfaatkan eksploitasi ini untuk memuat mikrokode khusus.
Semua CPU Zen 5, termasuk prosesor Ryzen 9000 (Granite Ridge), EPYC 9005 (Turin), Ryzen AI 300 (Strix Halo, Strix Point, Krackan Point), dan Ryzen 9000HX (Fire Range) rentan terhadap kerentanan ini.
AMD telah menerapkan firmware ComboAM5PI 1.2.0.3c AGESA untuk produsen motherboard sebagai perbaikan, jadi pantau terus situs web vendor Anda untuk pembaruan BIOS yang akan datang. Mitigasi yang mengatasi kerentanan SEV belum dirilis untuk EPYC Turin meskipun dijadwalkan untuk dirilis akhir bulan ini.
