Luka „Sinkclose” w setkach milionów chipsetów AMD umożliwia głębokie, prawie nieodwracalne infekcje

W oświadczeniu dla WIRED AMD podkreśliło trudność wykorzystania Sinkclose: Aby skorzystać z tej luki, haker musiałby już mieć dostęp do jądra komputera, rdzenia jego systemu operacyjnego. AMD porównuje technologię Sinkhole do metody uzyskiwania dostępu do sejfów bankowych po ominięciu alarmów, strażników i drzwi skarbca.

Nisim i Okupski twierdzą, że wykorzystanie Sinkclose wymaga dostępu do urządzenia na poziomie jądra, jednak tego typu luki są ujawniane w systemach operacyjnych Windows i Linux niemal co miesiąc. Twierdzą, że wyrafinowani hakerzy sponsorowani przez państwo, którzy mogliby wykorzystać Sinkclose, mogą już dysponować technikami wykorzystania tych luk, niezależnie od tego, czy są one znane, czy nieznane. „W jądrze wszystkich tych systemów występują obecnie luki w zabezpieczeniach. Istnieją one i są dostępne dla atakujących. To jest następny krok” – mówi Nissim.

Technologia Sinkclose firmy Nissim i Okupski wykorzystuje tajemniczą funkcję w chipach AMD znaną jako TClose. (W rzeczywistości nazwa Sinkclose pochodzi od połączenia terminu TClose z Sinkhole, nazwy wcześniejszej luki w zabezpieczeniach trybu zarządzania systemem odkrytej w chipach Intela w 2015 r.). W urządzeniach opartych na procesorach AMD ochrona znana jako TSeg zapobiega przedostawaniu się systemów operacyjnych komputera do zapisywanie w Chroniona część pamięci przeznaczona do trybu zarządzania systemem, znana jako pamięć o dostępie swobodnym zarządzania systemem lub SMRAM. Jednak funkcja TClose firmy AMD została zaprojektowana, aby umożliwić komputerom PC zachowanie zgodności ze starszym sprzętem, który wykorzystuje te same adresy pamięci co SMRAM, oraz ponowne przypisanie innej pamięci do tych adresów SMRAM, gdy jest włączona. Nissim i Okupski odkryli, że korzystając wyłącznie z poziomu uprawnień systemu operacyjnego, mogliby użyć funkcji resetowania TClose, aby oszukać kod SMM w celu pobrania zmanipulowanych danych w sposób, który umożliwiłby im przekierowanie procesora i wykonanie jego kodu z szybkością ten sam wysoki poziom SMM.

„Myślę, że to najbardziej złożony błąd, jaki kiedykolwiek wykorzystałem” – mówi Okupski.

Nissim i Okupski, którzy specjalizują się w bezpieczeństwie kodu niskiego poziomu, np. sterowników procesorów, mówią, że po raz pierwszy zdecydowali się zbadać architekturę AMD dwa lata temu, po prostu dlatego, że uważali, że nie została ona wystarczająco zbadana w porównaniu z Intelem, nawet przy rosnącym udział w rynku. Mówią, że odkryli krytyczny stan, który umożliwił zhakowanie Sinkclose, po prostu czytając i ponownie czytając dokumentację AMD. „Wydaje mi się, że czytałem stronę, na której widniała luka, około tysiąc razy. Potem raz po raz ją zauważyłem” – mówi Nissim. Mówi się, że zaalarmowali AMD o usterce w październiku ubiegłego roku, ale czekali prawie dziesięć miesięcy, aby dać AMD więcej czasu na przygotowanie poprawki.

Użytkownicy, którzy chcą się zabezpieczyć, Nissim i Okubski twierdzą, że w przypadku komputerów z systemem Windows — które prawdopodobnie stanowią zdecydowaną większość systemów, których dotyczy luka — oczekują, że poprawki dla SyncClose zostaną zintegrowane z aktualizacjami udostępnianymi przez producentów komputerów osobistych firmie Microsoft, które zostaną uwzględnione w przyszłości aktualizacje systemu operacyjnego. Poprawki dla serwerów, systemów wbudowanych i urządzeń z systemem Linux mogą być bardziej szczegółowe i ręczne; Jeśli chodzi o urządzenia z systemem Linux, będzie to częściowo zależeć od dystrybucji Linuksa zainstalowanej na komputerze.

Nissim i Okupski twierdzą, że zgodzili się z AMD, aby przez kilka następnych miesięcy nie publikować żadnego kodu potwierdzającego ważność luki Sinkclose, aby zapewnić więcej czasu na rozwiązanie problemu. Twierdzą jednak, że pomimo wszelkich prób podejmowanych przez AMD lub inne firmy bagatelizowania luki Sinkclose jako trudnej do wykorzystania, nie powinno to uniemożliwiać użytkownikom jej jak najszybszego naprawienia. Doświadczeni hakerzy być może odkryli już swoją technikę — lub mogą wymyślić, jak ją odkryć, po tym, jak Nissim i Okubski przedstawią swoje odkrycia na konferencji Defcon.

Badacze IOActive ostrzegają, że nawet jeśli Sinkclose wymaga stosunkowo głębokiego dostępu, głębszy poziom kontroli, jaki zapewnia, oznacza, że ​​potencjalne cele nie powinny czekać na wdrożenie jakiejkolwiek dostępnej poprawki. „Jeśli fundamenty zostaną złamane, bezpieczeństwo całego systemu zostanie złamane” – mówi Nissim.

Zaktualizowano o 9:00 czasu wschodniego, 8 września 2024 r.: Po opublikowaniu tego artykułu firma AMD zaktualizowała swój biuletyn bezpieczeństwa, dodając Lista żetonów Pod wpływem Sinkclose.