В четырех линейках чипов мирового производителя AMD устранена уязвимость благодаря Positive Technologies

До выпуска патчей ошибка могла использоваться для шпионажа и кражи информации, запуска вредоносного кода и обхода СЗИ для развития более сложных атак

Исследователь экспертного центра безопасности Positive Technologies Тимофей Дудицкий помог исправить опасную уязвимость в линейках процессоров AMD EPYC, Ryzen, EPYC и Ryzen Embedded. Компания AMD — второй крупнейший разработчик чипов, она занимает 37% мирового рынка процессоров¹. Недостаток защиты суммарно затронул 56 моделей чипов, включая бюджетные серии, например Athlon 3000, Ryzen 5000 и Ryzen 6000 с графикой Radeon. Под угрозой находились обычные пользователи, а также бизнес и госучреждения в разных странах. Например, в случае атак на организации злоумышленники могли бы длительное время оставаться незамеченными, перемещаться по корпоративной сети, следить за жертвой и похищать чувствительные данные. Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и опубликовал обновления микропрограммного обеспечения.

Процессоры AMD EPYC используются в центрах обработки данных, высокопроизводительных вычислительных системах, средствах виртуализации и контейнеризации. В свою очередь, многоядерные процессоры AMD Ryzen выпускаются для настольных, мобильных, серверных и встроенных платформ, решая широкий круг задач — от поддержки офисных приложений до ресурсоемких вычислений. На их базе среди прочего функционируют домашние и рабочие ноутбуки и компьютеры. Семейства встраиваемых (embedded) процессоров AMD EPYC и Ryzen применяются в сетевых решениях, системах хранения данных и медицинской визуализации, промышленных системах, тонких клиентах и цифровых играх.

Уязвимости PT-2026-33168² (CVE-2025-54502; BDU: 2025-10277) присвоено 7,1 балла по шкале CVSS 4.0, что соответствует высокому уровню опасности. Эксперт Positive Technologies обнаружил недостаток в прошивке материнских плат (UEFI), а именно в драйвере SMM, отвечающем за работу компонента AMD Platform Configuration Blob. Простыми словами, производитель недостаточно защитил наиболее привилегированный режим работы процессора — System Management Mode (SMM), используемый для того, чтобы управлять платформой, ее питанием, безопасностью и другими функциями.

С технической точки зрения уязвимость вызвана возможностью некорректно использовать в уязвимом драйвере службу загрузки. Этот сервис ни в коем случае не должен быть задействован в вышеназванном режиме работы процессора. По словам Тимофея Дудицкого, такие проблемы безопасности могут возникать из-за невнимательности при первоначальной разработке ПО либо при последующем обновлении его компонентов. Кроме того, разработчики могут пренебрегать оптимизацией или тестированием написанного кода, из-за чего в продуктах остаются ошибки, которые можно было легко устранить на ранних этапах разработки.

Потенциальный злоумышленник мог проводить атаки либо находясь физически рядом с целевым устройством, либо локально, имея доступ к ядру системы. Для полноценной эксплуатации найденной и уже закрытой уязвимости ему потребовалось бы одно из двух условий:

• Успешная реализация цепочки эксплойтов³. Наиболее опасный сценарий мог бы возникнуть при локальном применении уязвимости: нарушителю было бы необходимо обойти протокол безопасности Secure Boot⁴, дополнительно найти и проэксплуатировать уязвимость⁵, позволяющую читать память в режиме SMM и записывать в нее, а потом воспользоваться PT-2026-33168, чтобы внедрить вредоносный код, например бэкдор). При наличии физического доступа для успешной атаки достаточно было бы только дополнительной уязвимости для чтения и записи.

• Неправильные параметры, заданные производителем при настройке материнской платы. Например, вендор мог выбрать неверную конфигурацию защиты той области памяти, в которой расположен режим SMM.

Из-за того, что уязвимые чипы широко распространены в мире — от домашних ноутбуков до оборудования в дата-центрах, угроза была крайне серьезной. Если бы злоумышленники успели воспользоваться уязвимостью, обычные пользователи ни по каким признакам не смогли бы понять, что в прошивку материнской платы добавлен нелегитимный модуль, который выполняет вредоносные команды атакующих. При захвате корпоративных узлов они бы получили полную свободу действий, так как были бы невидимыми для большинства защитных средств и имели бы возможность продолжать зловредную активность даже после переустановки операционной системы. С наибольшей вероятностью хакеры выбрали бы мишенями госучреждения и коммерческие компании. Практика расследований PT ESC показывает, что этот тип недостатков эффективно используется для проведения высокотехнологичных и сложных атак с намерением закрепиться в инфраструктурах жертв. С помощью PT-2026-33168 киберпреступники могли бы в течение нескольких месяцев шпионить за сотрудниками, незаметно красть ценные данные и передвигаться по внутренней корпоративной сети.

Тимофей Дудицкий, Специалист группы анализа уязвимостей экспертного центра безопасности Positive Technologies

¹ _{По данным крупнейшего в мире веб-сайта по тестированию процессоров cpubenchmark.net по состоянию на второй квартал 2026 года, включены только процессоры, установленные в настольные компьютеры, ноутбуки и серверы, исключены игровые консоли и некоторые мобильные устройства.}

² _{Недостаток безопасности зарегистрирован на портале dbugs, где аккумулируются данные об уязвимостях в программном обеспечении и оборудовании производителей со всего мира.}