Vulnerabilitate în procesoarele AMD poate fi exploatată pentru a instala malware care supraviețuiește reinstalărilor sistemului de operare.
Cercetătorii în securitate cibernetică au descoperit un bug alarmant în procesoarele AMD care poate fi folosit pentru a instala malware greu de detectat și capabil să supraviețuiască reinstalărilor sistemului de operare.
Vulnerabilitatea vizează un mod de operare din cadrul procesoarelor AMD, numit „System Management Mode” (SMM), care este conceput pentru a gestiona funcții esențiale ale sistemului, cum ar fi gestionarea energiei și controlul hardware-ului. Acest mod de operare are, de asemenea, privilegii ridicate, pe care cercetătorii de la compania de securitate cibernetică IOActive au reușit să le exploateze.
Conform Wired, vulnerabilitatea, denumită „Sinkclose”, permite unui atacator să obțină privilegii la nivel de sistem în cadrul unui sistem AMD, fie că este vorba de un PC sau de un server. Aceasta ar putea permite instalarea de malware în afara sistemului de operare, direct în firmware, făcând codul malițios mult mai dificil de detectat și eliminat.
„Această problemă la nivel de siliciu pare să fi rămas nedetectată timp de aproape două decenii,” au scris cercetătorii.
AMD lucrează la o soluție încă de când vulnerabilitatea a fost descoperită, în luna octombrie. Vineri, compania a început să lanseze patch-uri pentru Sinkclose pentru procesoarele AMD Ryzen și Epyc, avertizând că vulnerabilitatea are un grad de severitate „ridicat”. Totuși, este posibil să dureze până când producătorii de plăci de bază și, posibil, Microsoft, vor distribui soluția către utilizatori.
Cu toate acestea, AMD susține că vulnerabilitatea nu este ușor de exploatat. Cercetătorii de la IOActive adaugă că bug-ul implică manipularea unei funcții obscure din procesoarele AMD, cunoscută sub numele de TClose. Important este că AMD afirmă că Sinkclose poate fi exploatat doar dacă hackerul are deja acces la computer cu privilegii pentru a modifica kernel-ul, nucleul sistemului de operare.
Cu toate acestea, cercetătorii de la IOActive avertizează că Sinkclose reprezintă o amenințare majoră dacă hackeri de elită, cum ar fi spionii sponsorizati de stat, ar învăța să o exploateze. „Deși exploatarea Sinkclose necesită acces la nivel de kernel la un dispozitiv, astfel de vulnerabilități sunt expuse practic în fiecare lună în Windows și Linux,” au declarat cercetătorii pentru Wired.
Echipa de la IOActive intenționează să împărtășească mai multe detalii despre vulnerabilitate la conferința de securitate DEF CON din Las Vegas, dar se abțin să dezvăluie orice cod demonstrativ care să arate cum poate fi exploatată Sinkclose, cel puțin pentru următoarele câteva luni, pentru a oferi AMD mai mult timp pentru a remedia problema.
Deși AMD a lansat o soluție software, aceasta nu acoperă seria desktop AMD Ryzen 3000 sau modelele mai vechi de procesoare. Am contactat compania pentru un comentariu și vom actualiza știrea dacă vom primi un răspuns.
