Дослідники з фірми безпеки IOActive знайшли недолік, який зберігається у процесорах AMD протягом десятиліть і який може дозволити шкідливому програмному забезпеченню проникнути в пам’ять комп’ютера настільки глибоко, що у багатьох випадках було б легше викинути машину, аніж «вилікувати» її. Про це повідомляє Wired.
На хакерській конференції Defcon дослідники Енріке Нісім і Кшиштоф Окупскі планують представити вразливість у мікросхемах AMD, яку вони назвали Sinkclose.
Недолік дає змогу хакерам запускати власний код в одному з найбільш привілейованих режимів процесора AMD, відомому як режим керування системою. System Management Mode призначений для використання лише для певної захищеної частини мікропрограми.
Вважається, що це стосується практично всіх мікросхем AMD, випущених у 2006 році або, можливо, навіть раніше.
Дослідники попереджають, що будь-яку машину з одним із вразливих чипів AMD зловмисник може заразити шкідливим програмним забезпеченням, відомим як «буткіт». Він уникає антивірусних інструментів і потенційно невидимий для операційної системи, водночас пропонуючи хакеру повний доступ для втручання в машину і спостереження за її діяльністю.
Для систем із певними помилковими конфігураціями у Platform Secure Boot зараження зловмисним програмним забезпеченням, інстальованим через Sinkclose, може бути складніше виявити чи виправити навіть після перевстановлення операційної системи.
Лише відкриття корпусу комп’ютера, фізичне підключення безпосередньо до певної частини процесорів за допомогою апаратного інструменту програмування, відомого як програматор SPI Flash, і ретельне очищення пам’яті дасть змогу видалити зловмисне програмне забезпечення.
Як повідомляють ЗМІ, AMD визнала висновки IOActive, подякувала дослідникам за їхню роботу та зазначила, що випустила варіанти пом’якшення для своїх продуктів для центрів обробки даних AMD EPYC і продуктів AMD Ryzen для ПК.
Незабаром з’являться пом’якшення для вбудованих продуктів AMD (термін «вбудований» у цьому випадку відноситься до чипів AMD, які є в таких системах, як промислові пристрої та автомобілі).
Зокрема, компанія випустила виправлення для своїх процесорів EPYC, призначених для використання в серверах центрів обробки даних.
AMD відмовилася відповідати на запитання, як вона збирається виправити вразливість Sinkclose, або для яких саме пристроїв і коли це може статися, але вказала на повний список продуктів, які постраждали, на сторінці безпеки на своєму вебсайті.
У компанії підкреслили складність використання Sinkclose. Щоб скористатися перевагами вразливості, хакер повинен вже мати доступ до ядра комп’ютера. AMD порівнює техніку Sinkhole з методом доступу до банківських сейфів після обходу сигналізації, охоронців і дверей сховища.
Дослідники Нісім та Окупскі вважають, що, хоча для використання Sinkclose потрібен доступ до машини на рівні ядра, такі вразливості виявляються у Windows і Linux практично щомісяця.
Вони стверджують, що досвідчені хакери, спонсоровані державою, які можуть скористатися Sinkclose, швидше за все, вже володіють методами використання цих вразливостей.
«Зараз є експлойти ядра для всіх цих систем. Вони існують і доступні для зловмисників. Це наступний крок», — каже Нісім.
Sinkclose працює на основі функції мікросхем AMD, відомої як TClose. Назва Sinkclose фактично походить від поєднання терміна TClose із Sinkhole — назви попереднього експлойта режиму керування системою, знайденого у мікросхемах Intel у 2015 році.
Нісім та Окупскі виявили, що, маючи лише рівень привілеїв операційної системи, вони можуть використовувати функцію перевідповідання TClose, щоб обманом змусити код SMM отримати дані, які вони підробили, таким чином, щоб вони могли перенаправити процесор і змусити його виконувати власний код на тому самому високопривілейованому рівні SMM.
Нісім та Окупскі кажуть, що вперше вирішили дослідити архітектуру AMD 2 роки тому, бо вважали, що вона не отримала достатньої уваги порівняно з Intel.
Вони знайшли критично важливу вразливість TClose просто читаючи та перечитуючи документацію AMD. Дослідники попередили AMD про недолік ще у жовтні минулого року.
Нісім та Окупскі кажуть, що домовилися з AMD не публікувати жодного коду підтвердження концепції для свого експлойту Sinkclose протягом кількох місяців, щоб дати більше часу для вирішення проблеми.
Читайте також на ProIT: розробники ігор звинувачують Intel у продажі дефектних процесорів Raptor Lake.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
