Уязвимостта на Sinkclose в чиповете на AMD може да направи милиони компютри невъзстановими

Изследователи от IOActive са открили критична уязвимост в процесорите на AMD, която позволява на хакерите да въведат практически неинсталираем зловреден софтуер. Проблемът засяга милиони компютри и сървъри по света. доклади Кабелно издание.

Уязвимост, наречена Sinkclose, беше открита в режима за управление на системата (SMM) на процесорите на AMD. Този режим има високи привилегии и е предназначен да изпълнява критични системни функции. Нападателите могат да използват Sinkclose, за да инжектират зловреден код в най-дълбоките слоеве на фърмуера, като променят конфигурацията на SMM, което го прави почти невъзможно за откриване и премахване.

Enrique Nissim и Krzysztof Okupski от IOActive, които откриха уязвимостта, планират да говорят подробно за нея на хакерската конференция Defcon утре. Според тях Sinkclose засяга почти всички процесори на AMD, пуснати от 2006 г. насам, а може би и по-рано.

Изследователите предупреждават, че хакерите ще се нуждаят от определено ниво на достъп до базиран на AMD компютър или сървър, за да експлоатират уязвимостта, но тогава Sinkclose ще им даде възможност да инжектират зловреден код още по-дълбоко. В повечето тествани системи, където защитната функция Platform Secure Boot не е внедрена правилно, вирус, инсталиран чрез Sinkclose, ще бъде почти невъзможно да бъде открит и елиминиран, дори след преинсталиране на операционната система.

„Представете си, че хакери от разузнавателни агенции или някой друг искат да стъпят във вашата система. Дори ако изтриете напълно твърдия диск, вирусът пак ще остане“, казва Окупски. Според него единственият начин да се премахне такъв вирус е да се свърже физически с паметта на компютъра с помощта на SPI Flash програматор и внимателно да се сканира. „Най-лошият сценарий е, че просто трябва да изхвърлите компютъра“, обобщава Нисим.

В изявление за Wired, AMD потвърдено намери IOActive, благодари на изследователите и каза, че вече е пуснал корекции за процесори EPYC и Ryzen, а корекции за вградени системи ще бъдат пуснати в близко бъдеще. AMD обаче не разкри подробности за това как точно ще бъде коригирана уязвимостта Sinkclose и за кои устройства.

Същевременно AMD подчертава трудността при използване на тази уязвимост, тъй като тя изисква от атакуващия достъп до ядрото на операционната система. Нисим и Окупски обаче възразяват, че за опитните хакери получаването на такъв достъп не е проблем благодарение на редовно появяващите се грешки в... Windows и Linux.

Изследователите предупреждават, че след презентацията в Defcon, въпреки че подробности за експлойта няма да бъдат публикувани, опитни хакери може да са в състояние да отгатнат как работи технологията, така че потребителите се съветват да инсталират корекции на AMD веднага щом станат налични.

Източници:

• Кабелен
• AMD

Източник: 3dnews.ru