Esploristoj de IOActive malkovris kritikan vundeblecon en AMD-procesoroj, kiu permesas al piratoj enkonduki praktike neinstaleblan malware. La problemo influas milionojn da komputiloj kaj serviloj tra la mondo. Karata eldono.
Vulnerabileco nomita Sinkclose estis malkovrita en la sistemadministra reĝimo (SMM) de AMD-procesoroj. Ĉi tiu reĝimo havas altajn privilegiojn kaj estas dizajnita por plenumi kritikajn sistemajn funkciojn. Atakantoj povas uzi Sinkclose por injekti malican kodon en la plej profundajn tavolojn de la firmvaro ŝanĝante la SMM-agordon, igante ĝin preskaŭ neeble detekti kaj forigi.
Enrique Nissim kaj Krzysztof Okupski de IOActive, kiuj malkovris la vundeblecon, planas paroli pri ĝi detale ĉe la Defcon-hacker-konferenco morgaŭ. Laŭ ili, Sinkclose influas preskaŭ ĉiujn AMD-procesorojn publikigitajn ekde 2006, kaj eble pli frue.
La esploristoj avertas, ke retpiratoj bezonus certan nivelon de aliro al komputilo aŭ servilo bazita en AMD por ekspluati la vundeblecon, sed tiam Sinkclose donus al ili la kapablon injekti malican kodon eĉ pli profunde. Sur plej elprovitaj sistemoj, kie la sekureca funkcio de Platform Secure Boot ne estas ĝuste efektivigita, viruso instalita per Sinkclose estos preskaŭ neeble detekti kaj forigi, eĉ post reinstalo de la operaciumo.
"Imagu, ke retpiratoj de spionaj agentejoj aŭ iu alia volas akiri piedtenejon en via sistemo. Eĉ se vi tute viŝas la malmolan diskon, la viruso ankoraŭ restos,” diras Okupski. Laŭ li, la sola maniero forigi tian viruson estas fizike konektiĝi al la memoro de la komputilo uzante programilon SPI Flash kaj zorge skani ĝin. "La plej malbona kazo estas, ke vi nur devas forĵeti la komputilon," Nissim resumas.
En deklaro al Wired, AMD trovis IOActive, dankante la esploristojn kaj diris, ke ĝi jam publikigis korektojn por EPYC kaj Ryzen-procesoroj, kaj flikaĵoj por enigitaj sistemoj estos liberigitaj en la proksima estonteco. Tamen, AMD ne malkaŝis detalojn pri kiom precize la vundebleco de Sinkclose estos riparita kaj por kiuj aparatoj.
Samtempe, AMD emfazas la malfacilecon ekspluati ĉi tiun vundeblecon, ĉar ĝi postulas, ke atakanto havu aliron al la kerno de la operaciumo. Tamen, Nissim kaj Okupski kontraŭas, ke por spertaj retpiratoj, akiri tian aliron ne estas problemo danke al la regule aperantaj cimoj en Windows и Linux.
Esploristoj avertas, ke post la prezento ĉe Defcon, kvankam detaloj pri la ekspluato ne estos publikigitaj, spertaj piratoj eble povos diveni kiel funkcias la teknologio, do uzantoj konsilas instali AMD-flakilojn tuj kiam ili estos disponeblaj.
Fontoj:
fonto: 3dnews.ru
