Milliónyi AMD chipet érint egy súlyos sérülékenység
A Sinkclose névre keresztelt sérülékenység gyakorlatilag az összes 2006 óta gyártott processzorban kihasználható.
Ritka, hogy a firmware-t érintő biztonsági sérülékenység a számítógépeket és szervereket működtető chipek gyártóinak számlájára írható, márpedig kiderült, hogy az AMD processzoraiban évtizedek óta található egy olyan sebezhetőség, amely lehetővé teszi, hogy a malware-ek olyannyira mélyen az eszköz memóriájába ékelődjenek, hogy csak körülményes úton legyen mód kiirtani azokat.
A Defcon biztonsági konferencián az IOActive biztonsági cég két kutatója demonstrálta a Sinkclose névre keresztelt sebezhetőséget, amely lehetővé teszi kiberbűnözők számára, hogy saját kódot futtathassanak az AMD processzorok legkiterjedtebb jogokkal bíró, mikrokód-frissítések betöltésére is hasznáható System Management Mode (SMM) üzemmódjában, ami a firmware egy meghatározott, védett részének van fenntartva – elméletben csak a BIOS, illetve az induló operációs rendszer férhetne hozzá. A biztonsági szakemberek szerint a Sinkclose gyakorlatilag az összes 2006 óta gyártott AMD chipet érinti, ügyfélszámítógépeket, szervereket és beágyazott rendszereket egyaránt, és a legújabb Zen-alapú processzorok sem jelentenek kivételt.
Könnyed nyári mix a felmondástól a vidéki IT bérekig Ezúttal rengeteg IT karrierrel kapcsolatos témát érintettünk. Ti kérdeztetek, mi válaszoltuk a 37. kraftie adásban.
A hiba kihasználásához a rosszakaróknak már alapból rendelkezniük kell egy mély hozzáféréssel az AMD-alapú számítógéphez vagy szerver kerneléhez, de a Sinkclose hibája lehetővé teszi, hogy a rosszindulatú kódjukat még mélyebbre ültessék el, akár az operációs rendszer újratelepítése után sem lehessen tőlük megszabadulni. A sebezhető processzorokkal ellátott céleszközt a támadó megfertőzheti egy „bootkittel”, ami képes rejtve maradni az antivírus-eszközök elől, miközben a támadó teljes hozzáférést kap a gépen futó tevékenység megfigyeléséhez, a hagyományos módszerekkel szinte lehetetlen eltávolítani és detektálni.
A kutatók szerint fizikai beavatkozás is szükséges a malware eltávolításához – a gépház felnyitása után a memóriachipek egy bizonyos részéhez közvetlenül kell csatlakoztatni egy SPI Flash-t, majd a memória alapos átvizsgálása után lehetséges csak eltávolítani. Ugyan a Sinkclose kihasználásához kernelszintű hozzáférésre van szükség, gyakorlatilag minden hónapban megjelennek a Windows és a Linux rendszerekben olyan sérülékenysége, amik ezt lehetővé teszik, a szponzorált és felkészültebb államilag támogatott kiberbűnözői csoportok pedig nagy eséllyel rendelkeznek a sebezhetőség kihasználásához szükséges eszközökkel.
A sebezhetőség az AMD chipek TClose nevű funkcióját használja ki, és a Sinkclose név a TClose nevének, valamint a korábban az Intel chipekben talált, szintén System Management Mode-ot érintő Sinkhole nevű sebezhetőség elnevezésének a kombinációja.
Az AMD elismerte a hibát, és közölte, hogy az AMD EPYC adatközponti termékei és az AMD Ryzen PC-termékekhez már kiadták a szükséges javítást, és hamarosan az AMD beágyazott termékek (köztük az ipari eszközökben és autókban használt chipek) javításai is érkeznek – igaz, a javítások csak megnehezítik a hiba kihasználását, de nem lehetetlenítik el teljesen.
A két kutató már tavaly októberben figyelmeztette a céget, de közel 10 hónapot kellett várni a válaszra, az AMD több időt kért a javítás előkészítésére. A Sinkclose javítócsomagjait a gyártók a Microsoftnak küldött frissítésekbe integrálják, a jövőbeni operációs rendszerfrissítésekbe építik be. A szerverek, beágyazott rendszerek és Linux-gépek foltjai lassabban érkeznek.