Уязвимостта съществува от близо 20 години и дава възможност на опитни атакуващи да заровят почти неоткриваеми буткитове в устройства с микропроцесори EPYC и Ryzen.
AMD издаде актуализации на фърмуера, за да отстрани уязвимост на силициево ниво с почти две десетилетия давност, която се проявява в процесорите за центрове за данни EPYC и линията процесори Ryzen за персонални компютри и вградени системи.
Недостатъкът засяга компонент в процесора за защита на System Management Mode (SMM) – режим на изпълнение, който е толкова защитен в процесора, че е дори по-привилегирован от режима на ниво ядро. Изследователите от IOActive, които са открили уязвимостта за повишаване на привилегиите, я описват като „непоправим“ проблем, който, ако бъде използван, ще позволи на нападателя да имплантира зловреден софтуер в системата, който ще бъде почти неподатлив на опити за отстраняване.
В момента стотици милиони устройства по света имат чипове на AMD, които съдържат уязвимостта.
Уязвимостта „SinkClose“, както я нарекоха изследователите от IOActive, е донякъде подобна на „Memory Sinkhole“ – уязвимост за заобикаляне на SMM в процесори Intel Sandy Bridge и предишни, която изследователят по сигурността Кристофър Домас разкри на презентация в Black Hat през 2015 г. Домас е разкрил и други уязвимости на хардуерно ниво в чипове на Intel.
„Уязвимостта е почти невъзможна за отстраняване в компютри, които не са конфигурирани правилно – какъвто е случаят с повечето системи“, се казва в изявление на IOActive. „В правилно конфигурираните системи уязвимостта може да доведе до заразяване със зловреден софтуер – известен като bootkits – който е почти невъзможно да бъде открит.“
Самата AMD описва уязвимостта като проблем, който дава на нападателите, които вече имат достъп до ring0 – или ниво на ядрото – до засегнатата система, начин потенциално да модифицират SMM, дори ако SMM Lock, функция за предотвратяване на неоторизирани модификации на SMM, е включена. „Неправилното валидиране в специфичен за модела регистър (MSR) може да позволи на злонамерена програма с достъп до ring0 да модифицира конфигурацията на SMM, докато SMM Lock е включена, което потенциално може да доведе до произволно изпълнение на код“, заяви производителят на чипове.
SMM е режим в чиповете на AMD за функции за управление на системата на ниско ниво. Той изпълнява код само от отделен блок памет, наречен памет за произволен достъп за управление на системата или SMRAM. Чиповете на AMD използват контролер на паметта, наречен TSeg, за защита на достъпа до SMRAM.
Изследователите от IOActive Енрике Нисим и Кшищоф Окупски обаче намериха начин да преодолеят тези защити и да накарат SMM да изпълнява по същество избран от тях код извън SMRAM. Те са направили това, като са използвали функция, наречена TClose, която AMD е включила в своите чипове за обратна съвместимост с наследена функция за управление на паметта. Дефектът SinkHole на Дюма е свързан с подобна наследена функция в чиповете на Intel.
Енрике Нисим и Кшищоф Окупски установиха, че атакуващият може да използва дефекта SinkClose, за да пусне зловреден софтуер достатъчно дълбоко – и достатъчно устойчиво – в системата, за да го направи невидим за операционната система, хипервайзора и за всички механизми за откриване на крайни точки. В лекция на хакерската конференция DEF CON на 10 август изследователите описаха уязвимостта като нещо, което отдалечен нападател би могъл да използва. Въпреки това, за да може да я използва, противникът трябва да познава в дълбочина архитектурата на чиповете на AMD – нещо, което вероятно ще бъде притежание само на ниво национална държава.
Самата AMD твърди, че нападател с нивото на достъп, необходимо за използване на уязвимостта SinkClose, вече би имал възможност да чете, променя, изтрива и следи всичко в компютъра. Освен това някой с достъп на ниво ядро на операционната система може да деактивира механизмите за сигурност и да предотврати стартирането на компютъра.
„Това прилича на това да имате знанията да проникнете в сейф в банката“, отбелязват от AMD в имейл до Dark Reading. „В реалния свят, за да стигне до кутията, взломаджията първо трябва да преодолее алармите, охраната, вратата на сейфа и собствените му ключалки, което очевидно не е лесна задача.“
Нападател с умения и познания за извършване на атака за заобикаляне на SMM би могъл да инсталира зловреден софтуер от вида, за който предупреди IOActive. Но това няма да е първият път, в който нападателите разполагат с такъв зловреден софтуер, казаха от AMD като предистория, посочвайки руткита на ниво фърмуер Lojax от 2018 г. „Въпреки че този зловреден софтуер може да е скрит, той не е невидим или невъзможен за отстраняване“.
„AMD пусна варианти за смекчаване на последиците за своите продукти за центрове за данни AMD EPYC и продукти за персонални компютри AMD Ryzen“, заяви производителят на чипове. „Пълният списък на засегнатите продукти и опциите за смекчаване са налични в нашия бюлетин за сигурност на продуктите.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.