Într-o declarație de fundal către WIRED, AMD a subliniat dificultatea exploatării Sinkclose: Pentru a profita de această vulnerabilitate, un hacker ar trebui să aibă deja acces la nucleul computerului, nucleul sistemului său de operare. AMD compară tehnologia Sinkhole cu metoda de accesare a seifurilor bancare după ocolirea alarmelor, a gardienilor și a ușii seifului.
Nisim și Okupski spun că exploatarea Sinkclose necesită acces la dispozitiv la nivel de kernel, dar astfel de vulnerabilități sunt dezvăluite în sistemele de operare Windows și Linux aproape în fiecare lună. Ei susțin că hackerii sofisticați sponsorizați de stat care ar putea exploata Sinkclose pot avea deja tehnici de exploatare a acestor vulnerabilități, cunoscute sau necunoscute. „Acum există vulnerabilități în nucleul tuturor acestor sisteme. Ele există și sunt disponibile pentru atacatori. Acesta este următorul pas”, spune Nissim.
Cercetătorii IOActive Krzysztof Okupski (stânga) și Enrique Nissim.Foto: Roger Kisby
Tehnologia Sinkclose de la Nissim și Okupski funcționează prin exploatarea unei caracteristici misterioase a cipurilor AMD cunoscută sub numele de TClose. (De fapt, numele Sinkclose provine din combinarea termenului TClose cu Sinkhole, numele unei vulnerabilități anterioare System Management Mode descoperită în cipurile Intel în 2015.) În dispozitivele bazate pe AMD, o protecție cunoscută sub numele de TSeg împiedică sistemele de operare ale computerului să scriere în O porțiune protejată de memorie dedicată modului de gestionare a sistemului cunoscut sub numele de Memorie cu acces aleatoriu de gestionare a sistemului sau SMRAM. Cu toate acestea, caracteristica TClose de la AMD este concepută pentru a permite computerelor să rămână compatibile cu hardware-ul mai vechi care utilizează aceleași adrese de memorie ca SMRAM și pentru a realoca alte memorie acelor adrese SMRAM atunci când este activat. Nissim și Okupski au descoperit că, folosind doar nivelul de privilegiu al sistemului de operare, ar putea folosi caracteristica de resetare TClose pentru a păcăli codul SMM să preia datele pe care le manipulaseră, într-un mod care să le permită să redirecționeze procesorul și să-l execute codul la același nivel SMM cu privilegii înalte.
„Cred că acesta este cel mai complex bug pe care l-am exploatat vreodată”, spune Okupski.
Nissim și Okupski, care sunt amândoi specializați în securitatea codului de nivel scăzut, cum ar fi driverele de procesor, spun că au decis pentru prima dată să investigheze arhitectura AMD în urmă cu doi ani, pur și simplu pentru că au simțit că nu a primit suficient control în comparație cu Intel, chiar și cu creșterea ei. cotă de piață. Ei spun că au descoperit starea critică care a permis ca Sinkclose să fie piratat, pur și simplu citind și recitind documentația AMD. „Cred că am citit pagina în care se afla vulnerabilitatea de aproximativ o mie de ori. Apoi am observat-o o dată și o dată”, spune Nissim. Ei spun că au alertat AMD cu privire la defecțiune în octombrie anul trecut, dar au așteptat aproape zece luni pentru a oferi AMD mai mult timp pentru a pregăti o remediere.
Pentru utilizatorii care doresc să se protejeze, Nissim și Okubski spun că pentru PC-urile Windows – care reprezintă probabil marea majoritate a sistemelor afectate – se așteaptă ca corecțiile pentru SyncClose să fie integrate în actualizările pe care producătorii de PC-uri le împărtășesc cu Microsoft, care vor fi incluse în viitor actualizări ale sistemului de operare. Patch-urile pentru servere, sisteme încorporate și dispozitive Linux pot fi mai detaliate și mai manuale; În ceea ce privește dispozitivele Linux, aceasta va depinde parțial de distribuția Linux care este instalată pe computer.
Nissim și Okupski spun că au convenit cu AMD să nu publice niciun cod care să dovedească valabilitatea vulnerabilității Sinkclose în următoarele câteva luni, pentru a oferi mai mult timp pentru a remedia problema. Dar ei susțin că, în ciuda oricărei încercări a AMD sau a altora de a minimiza vulnerabilitatea Sinkclose ca fiind dificil de exploatat, acest lucru nu ar trebui să împiedice utilizatorii să o repare cât mai curând posibil. Hackerii cu experiență s-ar putea să-și fi descoperit deja tehnica – sau s-ar putea să-și dea seama cum să o descopere după ce Nissim și Okubski își prezintă descoperirile la conferința Defcon.
Cercetătorii IOActive avertizează că, chiar dacă Sinkclose necesită acces relativ profund, nivelul mai profund de control pe care îl oferă înseamnă că potențialele ținte nu ar trebui să aștepte ca vreo remediere disponibilă să fie implementată. „Dacă fundația este spartă, securitatea întregului sistem va fi spartă”, spune Nissim.
Actualizat la 9 a.m. ET, 09.08.2024: după publicarea acestui articol, AMD și-a actualizat pagina de buletin de securitate pentru a include Lista de jetoane Influențat de Sinkclose.
„Iubitor tipic de twitter. Muzicholic pe tot parcursul vieții. Fanatic al culturii pop. Prieten al animalelor de pretutindeni. Evanghelist avid de bere. Jucător certificat.”