Търсене
Close this search box.

Уязвимостта съществува от близо 20 години и дава възможност на опитни атакуващи да заровят почти неоткриваеми буткитове в устройства с микропроцесори EPYC и Ryzen.

AMD издаде актуализации на фърмуера, за да отстрани уязвимост на силициево ниво с почти две десетилетия давност, която се проявява в процесорите за центрове за данни EPYC и линията процесори Ryzen за персонални компютри и вградени системи.

Недостатъкът засяга компонент в процесора за защита на System Management Mode (SMM) – режим на изпълнение, който е толкова защитен в процесора, че е дори по-привилегирован от режима на ниво ядро. Изследователите от IOActive, които са открили уязвимостта за повишаване на привилегиите, я описват като „непоправим“ проблем, който, ако бъде използван, ще позволи на нападателя да имплантира зловреден софтуер в системата, който ще бъде почти неподатлив на опити за отстраняване.

В момента стотици милиони устройства по света имат чипове на AMD, които съдържат уязвимостта.

Грешката SinkClose

Уязвимостта „SinkClose“, както я нарекоха изследователите от IOActive, е донякъде подобна на „Memory Sinkhole“ – уязвимост за заобикаляне на SMM в процесори Intel Sandy Bridge и предишни, която изследователят по сигурността Кристофър Домас разкри на презентация в Black Hat през 2015 г. Домас е разкрил и други уязвимости на хардуерно ниво в чипове на Intel.

„Уязвимостта е почти невъзможна за отстраняване в компютри, които не са конфигурирани правилно – какъвто е случаят с повечето системи“, се казва в изявление на IOActive. „В правилно конфигурираните системи уязвимостта може да доведе до заразяване със зловреден софтуер – известен като bootkits – който е почти невъзможно да бъде открит.“

Самата AMD описва уязвимостта като проблем, който дава на нападателите, които вече имат достъп до ring0 – или ниво на ядрото – до засегнатата система, начин потенциално да модифицират SMM, дори ако SMM Lock, функция за предотвратяване на неоторизирани модификации на SMM, е включена. „Неправилното валидиране в специфичен за модела регистър (MSR) може да позволи на злонамерена програма с достъп до ring0 да модифицира конфигурацията на SMM, докато SMM Lock е включена, което потенциално може да доведе до произволно изпълнение на код“, заяви производителят на чипове.

SMM е режим в чиповете на AMD за функции за управление на системата на ниско ниво. Той изпълнява код само от отделен блок памет, наречен памет за произволен достъп за управление на системата или SMRAM. Чиповете на AMD използват контролер на паметта, наречен TSeg, за защита на достъпа до SMRAM.

Атака за заобикаляне на SMM

Изследователите от IOActive Енрике Нисим и Кшищоф Окупски обаче намериха начин да преодолеят тези защити и да накарат SMM да изпълнява по същество избран от тях код извън SMRAM. Те са направили това, като са използвали функция, наречена TClose, която AMD е включила в своите чипове за обратна съвместимост с наследена функция за управление на паметта. Дефектът SinkHole на Дюма е свързан с подобна наследена функция в чиповете на Intel.

Енрике Нисим и Кшищоф Окупски установиха, че атакуващият може да използва дефекта SinkClose, за да пусне зловреден софтуер достатъчно дълбоко – и достатъчно устойчиво – в системата, за да го направи невидим за операционната система, хипервайзора и за всички механизми за откриване на крайни точки. В лекция на хакерската конференция DEF CON на 10 август изследователите описаха уязвимостта като нещо, което отдалечен нападател би могъл да използва. Въпреки това, за да може да я използва, противникът трябва да познава в дълбочина архитектурата на чиповете на AMD – нещо, което вероятно ще бъде притежание само на ниво национална държава.

Самата AMD твърди, че нападател с нивото на достъп, необходимо за използване на уязвимостта SinkClose, вече би имал възможност да чете, променя, изтрива и следи всичко в компютъра. Освен това някой с достъп на ниво ядро на операционната система може да деактивира механизмите за сигурност и да предотврати стартирането на компютъра.

„Това прилича на това да имате знанията да проникнете в сейф в банката“, отбелязват от AMD в имейл до Dark Reading. „В реалния свят, за да стигне до кутията, взломаджията първо трябва да преодолее алармите, охраната, вратата на сейфа и собствените му ключалки, което очевидно не е лесна задача.“

Нападател с умения и познания за извършване на атака за заобикаляне на SMM би могъл да инсталира зловреден софтуер от вида, за който предупреди IOActive. Но това няма да е първият път, в който нападателите разполагат с такъв зловреден софтуер, казаха от AMD като предистория, посочвайки руткита на ниво фърмуер Lojax от 2018 г. „Въпреки че този зловреден софтуер може да е скрит, той не е невидим или невъзможен за отстраняване“.

„AMD пусна варианти за смекчаване на последиците за своите продукти за центрове за данни AMD EPYC и продукти за персонални компютри AMD Ryzen“, заяви производителят на чипове. „Пълният списък на засегнатите продукти и опциите за смекчаване са налични в нашия бюлетин за сигурност на продуктите.“

 

Източник: DARKReading

Подобни публикации

11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
10 октомври 2024

Какво е Command Prompt, какво е Terminal и кое ...

Чували ли сте някога за Command Prompt на Windows? Или Terminal на ...
10 октомври 2024

Нов проект на Google има за цел да се превърне ...

Днес Google обяви старта на Глобалния обмен на сигнали (GSE) –...
10 октомври 2024

Marriott се съгласи да плати 52 млн. долара и д...

Marriott International се съгласи да плати 52 млн. долара и да напр...
10 октомври 2024

Атаката на American Water подновява фокуса върх...

Кибератака продължава да засяга най-голямата регулирана компания за...
Бъдете социални
Още по темата
08/10/2024

Защо многофакторното удосто...

Твърде крайно е да се каже,...
03/09/2024

RansomHub Ransomware Group ...

Заплахи, свързани с групата RansomHub, са...
24/08/2024

Хакерите вече използват инж...

Вълната от атаки, започнала през юли...
Последно добавени
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
11/10/2024

Киберсигурността - стълбът ...

Октомври е не само първият месец...
11/10/2024

31 милиона потребители са з...

Интернет архивът потвърди, че е бил...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!