Η ευπάθεια Sinkclose απειλεί εκατομμύρια υπολογιστές με επεξεργαστές AMD

Ένα κρίσιμο κενό ασφαλείας που επηρεάζει εκατομμύρια υπολογιστές με επεξεργαστές AMD από το 2006 έως σήμερα, αποκαλύφθηκε πρόσφατα από ερευνητές της εταιρείας IOActive.

Η ευπάθεια, που ονομάστηκε "Sinkclose", επιτρέπει σε κακόβουλους χρήστες να εγκαταστήσουν λογισμικό “βαθιά” στη μνήμη του υπολογιστή, καθιστώντας την ανίχνευση και αφαίρεσή του εξαιρετικά δύσκολη.

Οι ερευνητές Enrique Nissim

και Krzysztof Okupski παρουσίασαν τα ευρήματά τους στο συνέδριο Defcon, εξηγώντας πώς το Sinkclose επιτρέπει την εκτέλεση κώδικα στη λειτουργία System Management Mode του επεξεργαστή, ένα προνομιακό επίπεδο που κανονικά προορίζεται μόνο για συγκεκριμένο, προστατευμένο τμήμα του firmware.

Παρόλο που η εκμετάλλευση του κενού απαιτεί ήδη σημαντική πρόσβαση στο σύστημα, οι συνέπειες μπορεί να είναι καταστροφικές. Ένας εισβολέας θα μπορούσε να εγκαταστήσει ένα "bootkit", δηλαδή έμα κακόβουλο λογισμικό που παρακάμπτει τα προγράμματα antivirus και παραμένει αόρατο στο λειτουργικό σύστημα. Σε ορισμένες περιπτώσεις, η μόλυνση μπορεί να επιβιώσει ακόμη και μετά από επανεγκατάσταση του λειτουργικού συστήματος.

Ο Okupski τονίζει τη σοβαρότητα της κατάστασης, λέγοντας: "Φανταστείτε hackers κρατικού επιπέδου που θέλουν να διατηρήσουν την πρόσβασή τους στο σύστημά σας. Ακόμα κι αν καθαρίσετε πλήρως το σκληρό σας δίσκο, το κακόβουλο λογισμικό θα παραμείνει εκεί, σχεδόν αδύνατο να ανιχνευθεί και να αφαιρεθεί."

Η μοναδική αποτελεσματική μέθοδος αφαίρεσης του κακόβουλου λογισμικού απαιτεί το φυσικό άνοιγμα του υπολογιστή και τη χρήση ειδικού εξοπλισμού για τον προγραμματισμό των τσιπ μνήμης. Ο Nissim συνοψίζει τη χειρότερη περίπτωση με μια απλή φράση: "Ουσιαστικά, πρέπει να πετάξετε τον υπολογιστή σας."

Η AMD αναγνώρισε το πρόβλημα και ευχαρίστησε τους ερευνητές για τη δουλειά τους. Η εταιρεία ανακοίνωσε ότι έχει ήδη κυκλοφορήσει διορθώσεις για τους επεξεργαστές EPYC και Ryzen, ενώ σύντομα θα ακολουθήσουν λύσεις και για άλλα προϊόντα. Ωστόσο, δεν έχουν δοθεί λεπτομέρειες σχετικά με το χρονοδιάγραμμα και τον τρόπο αντιμετώπισης της ευπάθειας για όλες τις επηρεαζόμενες συσκευές.

Η AMD προχώρησε στη δημοσιοποίηση όλων των επεξεργαστών που επηρεάζονται από το Sinkclose, εδώ. Παράλληλα με δήλωση που πραγματοποίησε στο Tom's Hardware, η εταιρεία δήλωσε: "Υπάρχουν ορισμένα παλαιότερα προϊόντα που βρίσκονται εκτός του χρονκού ορίζοντα υποστήριξης λογισμικού μας". Η AMD δεν σχεδιάζει να αναβαθμίσει τους επεξεργαστές της σειράς Ryzen 1000, 2000 και 3000 ή τα μοντέλα Threadripper 1000 και 2000.

Παρόλα αυτά, οι περισσότεροι από τους πρόσφατους επεξεργαστές της AMD έχουν ήδη λάβει διάφορους τρόπους αντιμετώπισης του προβλήματος. Αυτό περιλαμβάνει όλες τις γενιές των επεξεργαστών EPYC της AMD για το κέντρο δεδομένων, τους πιο πρόσφατους Threadripper και τους επεξεργαστές Ryzen. Τα τσιπ της MI300A για data centers έχουν λάβει επίσης το patch. Η εταιρεία δήλωσε ότι "δεν αναμένεται καμία επίπτωση στις επιδόσεις" όταν ρωτήθηκε σχετικά με τις συνέπειες της ενημέρωσης. Έτσι, η εταιρεία πιθανότατα εξακολουθεί να κάνει δοκιμές επιδόσεων για να αξιολογήσει πλήρως τις επιπτώσεις του patch στη συνολική απόδοση του συστήματος.

Διαβάστε ολόκληρο το άρθρο