В последнее время появляется довольно много сообщений об уязвимости процессоров, что, как считают эксперты, не удивительно при постоянном увеличении их сложности. Однако проблема с процессорами AMD — довольно серьезная, так как затрагивает целые поколения процессоров, некоторые из которых давно не поддерживаются и, возможно, никогда не будут исправлены.
Исследователи компании IOActive обнаружили уязвимость Sinkclose (CVE-2023-31315), которая позволяет злоумышленникам выполнять вредоносный код в наиболее привилегированном режиме во многих процессорах AMD, включая почти все модели AMD EPYC и Ryzen. Сообщается также, что SinkClose не замечали почти два десятка лет.
Sinkclose позволяет в режиме управления System Management Mode (SMM) обойти защиту и выполнить вредоносный код на процессоре AMD, минуя проверки в Windows и даже в большинстве настроек микропрограммного обеспечение BIOS или пришедшему ему на смену Unified Extensible Firmware Interface (UEFI).
Эта уязвимость предоставляет возможность злоумышленникам, обладающим привилегиями уровня ядра Ring 0, перейти к одному из самых высоких уровней привилегий Ring -2 (именно с ним работает SMM) и установить вредоносный код, который чрезвычайно сложно обнаружить.
В режиме SMM выполняются низкоуровневые операции, необходимые для стабильности работы компьютера, включая контроль аппаратных средств, управление питанием и ряд других функций. Для повышения безопасности этот режим изолирован от ОС.
После взлома с использованием Sinkclose компьютеры могут быть заражены буткитами, которые обходят обычные средства безопасности, включая антивирусные пакеты и встроенные средства защиты Windows. Проблемы могут сохраняться даже после переустановки операционной системы.
В AMD отмечают сложность использования Sinkclose в реальных условиях, поскольку для успешной атаки нужен доступ на уровне ядра системы, то есть требуется предварительно взломать компьютер другими средствами. По-видимому, для обычных пользователей ПК эта уязвимость не представляет особой угрозы.
Однако Sinkclose относится именно к тому типу уязвимостей на уровне ядра, которые постоянно ищут и используют команды «государственных» хакеров и группы промышленного шпионажа, потому что они могут эксплуатироваться на огромном числе систем.
Полный список продуктов, затронутых уязвимостью Sinkclose, включает такие чипы, как модели серии AMD Ryzen 3000, выпущенные еще в 2019 году. Все они будут обновлены для устранения уязвимости. В американском же журнале Wired, утверждается, что уязвимость существует в чипах, начиная с 2006 года. Эксперты полагают, что большинство из них, вероятно, в настоящее время уже неактивны.
Чтобы устранить Sinkclose в AMD выпустили обновления микрокода для широкого спектра серверных и настольных процессоров.
Сообщают также, что Microsoft и OEM-партнеры AMD намерены как можно скорее рассылать обновления, которые исправляют уязвимость на работающих системах.