Sårbarhet i AMD driveroppdateringer kan gi angripere full kontroll

Sikkerhetsforskere har avdekket en alvorlig sårbarhet i AMDs oppdateringssystem for Windows-drivere, som kan gi angripere mulighet til å erstatte oppdateringer med ondsinnet kode. Problemet skyldes at den automatiske drivernyhetsprosessen på et punkt bruker usikker HTTP-tilkobling i stedet for HTTPS.

Forskeren Paul oppdaget rart systematferd på sin nye PC, med periodiske konsollvinduer som dukket opp uten åpenbar årsak. En analyse viste at dette kom fra AMDs automatiske driveroppdateringer. Ved nærmere undersøkelse fant han at selve driverfilene lastes ned via vanlig HTTP, selv om listen over tilgjengelige oppdateringer hentes over sikker HTTPS. Dette åpner for angrep der en ondsinnet aktør kan avlytte trafikken, bytte ut filer og kjøre vilkårlig kode med administratorrettigheter.

Det som er spesielt alarmerende, er at oppdateringsprosessen kjører med forhøyede privilegier. I teorien kan en angriper dermed ikke bare infisere systemet, men få full kontroll over det. Paul rapporterte funnet til AMD, men fikk et formelt svar om at man-in-the-middle-angrep ikke anses som en trussel. Dette har vakt bekymring for at problemet kanskje ikke blir løst raskt.

Ytterligere spenning tilfører at forskerens detaljerte tekniske rapport har forsvunnet – innlegget hans ble midlertidig fjernet «på forespørsel», noe som har utløst aktiv diskusjon i miljøet. På publiseringstidspunktet hadde ikke AMD gitt detaljerte kommentarer eller bekreftet om sårbarheten er gjenskapt internt. Brukere oppfordres til å være forsiktige med driveroppdateringer og, hvis mulig, midlertidig deaktivere automatiske oppdateringer inntil det kommer klarhet.