Forskere fra IOActive har opdaget en kritisk sårbarhed i AMD-processorer, der gør det muligt for hackere at introducere næsten afinstallerbar malware. Problemet påvirker millioner af computere og servere rundt om i verden. Wired udgave.
En sårbarhed kaldet Sinkclose blev opdaget i systemstyringstilstanden (SMM) for AMD-processorer. Denne tilstand har høje rettigheder og er designet til at udføre kritiske systemfunktioner. Angribere kan bruge Sinkclose til at injicere ondsindet kode i de dybeste lag af firmwaren ved at ændre SMM-konfigurationen, hvilket gør det næsten umuligt at opdage og fjerne.
Enrique Nissim og Krzysztof Okupski fra IOActive, der opdagede sårbarheden, planlægger at tale om det i detaljer på Defcons hackerkonference i morgen. Ifølge dem påvirker Sinkclose næsten alle AMD-processorer udgivet siden 2006, og muligvis tidligere.
Forskerne advarer om, at hackere ville have brug for et vist niveau af adgang til en AMD-baseret computer eller server for at udnytte sårbarheden, men så ville Sinkclose give dem mulighed for at injicere ondsindet kode endnu dybere. På de fleste testede systemer, hvor Platform Secure Boot-sikkerhedsfunktionen ikke er korrekt implementeret, vil en virus installeret gennem Sinkclose være næsten umulig at opdage og fjerne, selv efter geninstallation af operativsystemet.
"Forestil dig, at hackere fra efterretningstjenester eller en anden ønsker at få fodfæste i dit system. Selvom du tørrer harddisken fuldstændigt, vil virussen stadig forblive,” siger Okupski. Ifølge ham er den eneste måde at fjerne sådan en virus på fysisk at oprette forbindelse til computerens hukommelse ved hjælp af en SPI Flash-programmør og omhyggeligt scanne den. "Det værste scenario er, at du bare skal smide computeren væk," opsummerer Nissim.
I en erklæring til Wired, AMD fandt IOActive, takkede forskerne og sagde, at det allerede havde udgivet rettelser til EPYC- og Ryzen-processorer, og patches til indlejrede systemer ville blive frigivet i den nærmeste fremtid. AMD afslørede dog ikke detaljer om, hvordan Sinkclose-sårbarheden præcist vil blive rettet og for hvilke enheder.
Samtidig understreger AMD vanskeligheden ved at udnytte denne sårbarhed, da det kræver, at en angriber har adgang til operativsystemets kerne. Nissim og Okupski fremfører dog, at det for erfarne hackere ikke er et problem at få sådan adgang takket være de regelmæssigt opståede fejl i Windows и Linux.
Forskere advarer om, at efter præsentationen på Defcon, selvom detaljer om udnyttelsen ikke vil blive offentliggjort, kan erfarne hackere muligvis gætte, hvordan teknologien fungerer, så brugere rådes til at installere AMD-patches, så snart de bliver tilgængelige.
Kilder:
Kilde: 3dnews.ru
