CPU微代码漏洞使攻击者可直接篡改处理器核心逻辑

Rapid7的安全研究员Christiaan Beek近日警告，传统防御体系难以抵御直接植入处理器底层的恶意代码，这类攻击可能颠覆现有安全防护范式。其言论源于AMD处理器被曝存在高危漏洞（CVE-2024-56161），该漏洞允许拥有本地管理员权限的攻击者绕过制造商保护机制，向CPU注入恶意微代码更新。

该漏洞由谷歌研究人员率先发现并命名为“Entrysign”。实验显示，攻击者可利用此漏洞强制AMD处理器的RDRAND指令持续输出固定值“4”，而非正常情况下的随机数。这一底层指令常被加密协议和安全启动流程调用，篡改结果将直接破坏系统安全根基。更严峻的是，微代码更新机制本应由芯片厂商严格管控，用于修复硬件缺陷或提升性能，但此次事件证明该通道可被恶意利用。

Beek基于该漏洞成功开发出概念验证型CPU勒索软件。攻击者可借此加密处理器核心功能，例如禁用特定指令集或篡改计算结果，使设备完全瘫痪。与传统勒索软件不同，此类攻击不依赖操作系统漏洞，即使重装系统也无法清除威胁，唯有通过硬件厂商的官方微码更新才能解除。尽管Beek以安全考虑为由未公开技术细节，但其演示已引发行业震动，多家安全厂商承认现有EDR、防病毒软件对此类攻击“形同虚设”。

AMD回应称已发布微码补丁修复CVE-2024-56161漏洞，但承认此类攻击暴露出硬件安全模型的根本缺陷。行业专家指出，CPU微码更新机制的设计初衷是提升灵活性，却意外成为攻击入口。未来，硬件供应链安全、处理器固件签名验证、以及基于硬件可信根的防御技术或成关键研究方向。Beek警告：“当攻击者开始瞄准芯片底层，我们需要的不仅是补丁，而是整个安全架构的重构。”