Badacze bezpieczeństwa obecni na tegorocznej konferencji Def Con przedstawili ustalenia dotyczące istniejącej od dekad, choć niedawno odkrytej luki w zabezpieczeniach procesorów AMD zwanej „Sinkclose”. Choć jest ona trudna do wykorzystania, może potencjalnie przynieść katastrofalne skutki dla każdego systemu, który będzie miał pecha i padnie jej ofiarą.
W sobotę główny konsultant ds. bezpieczeństwa IOActive Enrique Nissim i zastępca głównego konsultanta ds. bezpieczeństwa Krzysztof Okupski przedstawili badania podatności na zagrożenia w prezentacji zatytułowanej AMD Sinkclose: Universal Ring-2 Privilege Escalation. Zgodnie z prezentacją, jego zespołu zauważył lukę w jednym ze składników wymaganych do zabezpieczenia trybu wykonywania znanego jako tryb zarządzania systemem. Ten tryb zapewnia atakującym dostęp do wysoce wszechstronnej i skutecznej metody wykonania. Exploit jest niewidoczny dla zabezpieczeń na poziomie systemu operacyjnego, takich jak rozwiązania antywirusowe, chroniące przed złośliwym oprogramowaniem i oszustwami, powszechnie stosowane w grach online.
Choć luka Sinkclose jest trudna do wykorzystania, może potencjalnie przynieść katastrofalne skutki dla każdego systemu, który będzie miał pecha i padnie jej ofiarą.
"Researchers warn that a bug in AMD’s chips would allow attackers to root into some of the most privileged portions of a computer..." New piece from @WIRED featuring research from IOActive Principal Security Consultants, Enrique Nissim & Krzysztof Okupski. https://t.co/UuvzC2qyGI
— IOActive, Inc (@IOActive) August 9, 2024
Realne zagrożenie nie jest duże
Wykorzystanie tej luki nie jest (na szczęście) łatwe i wymaga od atakującego uzyskania dostępu do jądra systemu. Jeśli się powiedzie, atakujący może użyć uprawnień Ring-0, aby uzyskać uprawnienia Ring-2 i zainstalować niewykrywalny bootkit. Bootkity to złośliwe oprogramowanie zaprojektowane tak, aby atakować główny rekord rozruchowy systemu. Po zainstalowaniu nie można go łatwo wykryć ani usunąć. W niektórych przypadkach udany atak może nawet być aktywny pomimo całkowitej ponownej instalacji systemu operacyjnego. W takich scenariuszach komputer, którego dotyczy problem, może wymagać całkowitej wymiany, a nie typowego usunięcia i naprawienia złośliwego oprogramowania.
Mimo że luka w zabezpieczeniach Sinkclose została zgłoszona i śledzona jako CVE-2023-31315 dopiero niedawno, wydaje się być problemem istniejącym od dawna, który przez ostatnie 18 lat pozostawał niewykryty w wielu stacjach roboczych i procesorach klasy serwerowej AMD. Luka zagraża wielu procesorom w centrach danych, rozwiązaniach graficznych, procesorom wbudowanych, komputerom stacjonarnych, HEDT, stacjom roboczych i liniom produktów mobilnych.
AMD nie zamierza łatać starszych CPU
Badacze z IOActive ujawnili problem firmie AMD na 10 miesięcy przed jego ogłoszeniem, dając producentowi chipów czas na zapoznanie się z nim i załatanie przed upublicznieniem. Czerwony zespół wydał już rozwiązania ograniczające jego jego działanie dla procesorów EPYC i Ryzen. Rzecznik AMD powiedział Wired, że wkrótce wprowadzone zostaną dodatkowe środki zaradcze dla procesorów wbudowanych i innych produktów, których dotyczy problem. Firma nie podała jednak oficjalnego harmonogramu, a Tom's Hardware donosi, że serie Ryzen 1000, 2000 i 3000 wraz z Threadripper 1000 i 2000 nie otrzymają żadnych aktualizacji i pozozstaną narażone na atak.
Chociaż pierwsze wieści i potencjalne szkody mogą wydawać się przerażające, użytkownicy mogą spać spokojnie, wiedząc, że luka ta pozostawała niewykryta przez prawie dwie dekady i wygląda na to, że hakerzy nigdy jej nie wykorzystali. Biorąc pod uwagę wysiłki zaradcze firmy AMD i nieodłączne trudności, z jakimi borykają się osoby atakujące w uzyskaniu dostępu na poziomie jądra, powszechne wykorzystanie tej luki jest wysoce nieprawdopodobne.
Pokaż / Dodaj komentarze do: Wykryto groźną lukę w procesorach AMD. W razie udanego ataku możemy wyrzucić nasz PC