:

Szerző: Dömös Zsuzsanna

2024. augusztus 12. 14:26

Milliónyi AMD chipet érint egy súlyos sérülékenység

A Sinkclose névre keresztelt sérülékenység gyakorlatilag az összes 2006 óta gyártott processzorban kihasználható.

Ritka, hogy a firmware-t érintő biztonsági sérülékenység a számítógépeket és szervereket működtető chipek gyártóinak számlájára írható, márpedig kiderült, hogy az AMD processzoraiban évtizedek óta található egy olyan sebezhetőség, amely lehetővé teszi, hogy a malware-ek olyannyira mélyen az eszköz memóriájába ékelődjenek, hogy csak körülményes úton legyen mód kiirtani azokat.

A Defcon biztonsági konferencián az IOActive biztonsági cég két kutatója demonstrálta a Sinkclose névre keresztelt sebezhetőséget, amely lehetővé teszi kiberbűnözők számára, hogy saját kódot futtathassanak az AMD processzorok legkiterjedtebb jogokkal bíró, mikrokód-frissítések betöltésére is hasznáható System Management Mode (SMM) üzemmódjában, ami a firmware egy meghatározott, védett részének van fenntartva – elméletben csak a BIOS, illetve az induló operációs rendszer férhetne hozzá. A biztonsági szakemberek szerint a Sinkclose gyakorlatilag az összes 2006 óta gyártott AMD chipet érinti, ügyfélszámítógépeket, szervereket és beágyazott rendszereket egyaránt, és a legújabb Zen-alapú processzorok sem jelentenek kivételt.

amd_sec

Machine recruiting: nem biztos, hogy szeretni fogod

Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

A hiba kihasználásához a rosszakaróknak már alapból rendelkezniük kell egy mély hozzáféréssel az AMD-alapú számítógéphez vagy szerver kerneléhez, de a Sinkclose hibája lehetővé teszi, hogy a rosszindulatú kódjukat még mélyebbre ültessék el, akár az operációs rendszer újratelepítése után sem lehessen tőlük megszabadulni. A sebezhető processzorokkal ellátott céleszközt a támadó megfertőzheti egy „bootkittel”, ami képes rejtve maradni  az antivírus-eszközök elől, miközben a támadó teljes hozzáférést kap a gépen futó tevékenység megfigyeléséhez, a hagyományos módszerekkel szinte lehetetlen eltávolítani és detektálni.

A kutatók szerint fizikai beavatkozás is szükséges a malware eltávolításához – a gépház felnyitása után a memóriachipek egy bizonyos részéhez közvetlenül kell csatlakoztatni egy SPI Flash-t, majd a memória alapos átvizsgálása után lehetséges csak eltávolítani. Ugyan a Sinkclose kihasználásához kernelszintű hozzáférésre van szükség, gyakorlatilag minden hónapban megjelennek a Windows és a Linux rendszerekben olyan sérülékenysége, amik ezt lehetővé teszik, a szponzorált és felkészültebb államilag támogatott kiberbűnözői csoportok pedig nagy eséllyel rendelkeznek a sebezhetőség kihasználásához szükséges eszközökkel.

A sebezhetőség az AMD chipek TClose nevű funkcióját használja ki, és a Sinkclose név  a TClose nevének, valamint a korábban az Intel chipekben talált, szintén System Management Mode-ot érintő Sinkhole nevű sebezhetőség elnevezésének a kombinációja.

Az AMD elismerte a hibát, és közölte, hogy az AMD EPYC adatközponti termékei és az AMD Ryzen PC-termékekhez már kiadták a szükséges javítást, és hamarosan az AMD beágyazott termékek (köztük az ipari eszközökben és autókban használt chipek) javításai is érkeznek – igaz, a javítások csak megnehezítik a hiba kihasználását, de nem lehetetlenítik el teljesen.

A két kutató már tavaly októberben figyelmeztette a céget, de közel 10 hónapot kellett várni a válaszra, az AMD több időt kért a javítás előkészítésére. A Sinkclose javítócsomagjait a gyártók a Microsoftnak küldött frissítésekbe integrálják, a jövőbeni operációs rendszerfrissítésekbe építik be. A szerverek, beágyazott rendszerek és Linux-gépek foltjai lassabban érkeznek.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról