Уязвимость AMD «Sinkclose» позволяет украсть данные

Но есть и хорошие новости: поскольку он не был обнаружен в течение 18 лет, он, вероятно, не использовался. Кроме того, AMD выпускает патчи для своих платформ, чтобы защитить их, хотя пока не все затронутые процессоры получили патчи.

Sinkclose обходит антивирусы и сохраняется даже после переустановки ОС

Уязвимость Sinclose позволяет хакерам выполнять код в режиме управления системой (SMM) процессоров AMD, высокопривилегированном разделе, обычно зарезервированном для критических операций прошивки. Чтобы воспользоваться этой уязвимостью, злоумышленники должны сначала получить доступ к ядру системы, что непросто, но возможно. Однако система уже должна быть скомпрометирована какой-то другой атакой.

После того, как этот доступ защищен, уязвимость Sinkclose позволяет злоумышленникам устанавливать вредоносное ПО типа «буткит», которое обходит стороной стандартные антивирусные инструменты, оставаясь практически невидимым в системе и способным сохраняться даже после переустановки операционной системы.

Уязвимость использует неоднозначную функцию в чипах AMD, известную как TClose, которая предназначена для поддержания совместимости со старыми устройствами. Манипулируя этой функцией, исследователи смогли перенаправить процессор на выполнение собственного кода на уровне SMM. Этот метод сложен, но предоставляет злоумышленникам глубокий и постоянный контроль над системой.

Исследователи безопасности Энрике Ниссим и Кшиштоф Окупски из IOActive выявили уязвимость Sinkclose. Они представят ее на завтрашней конференции Defcon.

«Чтобы воспользоваться уязвимостью, хакер должен уже иметь доступ к ядру компьютера, ядру его операционной системы», — говорится в заявлении AMD, опубликованном в Wired. AMD сравнивает технику Sinkhole с получением доступа к банковским сейфам после того, как он уже прошел через сигнализацию, охрану и дверь хранилища.

Ниссим и Окупски отмечают, что, хотя эксплуатация Sinkclose требует доступа на уровне ядра, уязвимости на этом уровне часто обнаруживаются в системах Windows и Linux. Они предполагают, что продвинутые хакеры, спонсируемые государством, вероятно, уже имеют инструменты для эксплуатации таких уязвимостей. По словам исследователей, эксплойты ядра легкодоступны, что делает Sinkclose следующим шагом для злоумышленников. Чтобы удалить вредоносное ПО, нужно открыть компьютер, подключиться к определенной части его памяти с помощью программатора SPI Flash, тщательно осмотреть память, а затем удалить вредоносное ПО.

Влияет на широкий спектр процессоров AMD

Уязвимость Sinkclose затрагивает широкий спектр процессоров AMD, используемых в клиентских ПК, серверах и встроенных системах. К сожалению, новейшие процессоры AMD на базе Zen с функцией Secure Boot платформы, не реализованной должным образом производителем компьютеров или производителями материнских плат, особенно уязвимы в том смысле, что сложнее обнаружить вредоносное ПО, установленное в защищенном анклаве AMD.

Исследователи ждали 10 месяцев, прежде чем раскрыть уязвимость, чтобы дать AMD больше времени для ее устранения. AMD признала уязвимость и начала выпускать варианты смягчения для затронутых продуктов, включая центр обработки данных EPYC и процессоры Ryzen PC. Исправления для некоторых продуктов уже выпущены, и вскоре ожидается больше. Однако AMD пока не раскрыла, как она будет устранять уязвимость на всех затронутых устройствах.

Исследователи предупреждают, что уязвимость представляет значительный риск, и пользователи не должны откладывать внедрение любых доступных исправлений для защиты своих систем. Ниссим и Окупски подчеркивают важность применения этих исправлений сразу же после их появления, несмотря на сложность эксплуатации «бэкдора». Они утверждают, что опытные хакеры, спонсируемые государством, уже могут обладать средствами для эксплуатации этой уязвимости, что делает своевременные обновления критически важными для поддержания безопасности системы.

Источник: Tomshardware.com