O vulnerabilitate cunoscută sub numele de Sinkclose, prezentă în procesoarele AMD de zeci de ani, permite hackerilor accesul la cele mai privilegiate zone ale unui computer. Aceasta poate duce la infiltrarea malware-ului în memoria computerului atât de profund încât, în multe situații, ar fi mai rapid să distrugi dispozitivul decât să-l dezinfectezi.
TLDR
- Vulnerabilitatea Sinkclose a afectat procesoarele AMD produse din 2006.
- Permite execuția de cod malițios în System Management Mode (SMM).
- Identificată ca CVE-2023-31315 cu un scor de severitate CVSS de 7.5.
- Hackerii pot instala malware de tip bootkit, greu de detectat și eliminat.
- AMD a lansat opțiuni de atenuare pentru produsele recente, dar nu pentru toate modelele.
Ce este vulnerabilitatea Sinkclose?
Vulnerabilitatea Sinkclose permite hackerilor să execute codul lor în unul dintre cele mai privilegiate moduri ale unui procesor AMD, cunoscut sub numele de System Management Mode (SMM). Acest mod este destinat să fie rezervat doar pentru o anumită porțiune protejată a firmware-ului său. Conform cercetătorilor de la IOActive, problema afectează aproape toate procesoarele AMD fabricate din 2006 și probabil chiar înainte.
Cum funcționează vulnerabilitatea?
Cu un scor de bază CVSS de 7.5, vulnerabilitatea de mare severitate a fost identificată ca CVE-2023-31315. Conform avizului de securitate AMD, validarea necorespunzătoare într-un registru specific de model (MSR) ar putea permite unui program malițios cu acces ring0 să modifice configurația SMM în timp ce blocarea SMI este activă, ceea ce poate duce la execuția de cod arbitrar. Cercetătorii IOActive au descoperit o metodă de a ocoli acest blocaj folosind MSR-uri specifice oferite de procesoarele AMD, care sunt accesibile din ring 0 și nu sunt doar în citire, chiar și atunci când este setat flag-ul SmmLock.
Impactul asupra sistemelor
Cercetătorii subliniază că pentru a profita de defect, hackerii ar trebui să aibă un acces destul de profund la un PC sau server bazat pe AMD, dar vulnerabilitatea Sinkclose le-ar permite totuși să introducă codul lor malițios mult mai adânc. Un atacator ar putea infecta computerul cu un malware cunoscut sub numele de “bootkit” care evită instrumentele antivirus și este potențial invizibil pentru sistemul de operare, oferind hackerului acces complet pentru a manipula mașina și a-i monitoriza activitatea.
Măsuri de atenuare și recomandări
După ce a recunoscut problema, AMD susține că a lansat opțiuni de atenuare pentru produsele Ryzen PC și data center, iar atenuările pentru produsele AMD embedded vor fi disponibile în curând. Firma a lansat, de asemenea, lista completă a cipurilor afectate. AMD a lansat opțiuni de atenuare pentru majoritatea procesoarelor sale recente, cuprinzând toate iterațiile procesoarelor EPYC pentru data center, cele mai noi modele Threadripper, și procesoarele Ryzen. Cu toate acestea, compania a ales să nu extindă aceste actualizări la procesoarele sale din seriile Ryzen 1000, 2000 și 3000 sau la modelele Threadripper 1000 și 2000.
Sursa articolului:
Pe Threat Spotting apar articole identificate de specialiști în securitate cibernetică și simplificate prin inteligență artificială (AI). De aceea, e bine să consultați sursele oficiale întrucât tehnologiile AI curente pot genera informații incomplete sau parțial adevărate. Citește mai multe despre proiect aici.
