De “Sinkclose”-kwetsbaarheid in honderden miljoenen AMD-chipsets maakt diepe, bijna onomkeerbare infecties mogelijk

In een achtergrondverklaring aan WIRED benadrukte AMD de moeilijkheid om Sinkclose te exploiteren: om van deze kwetsbaarheid te profiteren zou een hacker al toegang moeten hebben tot de kernel van de computer, de kern van het besturingssysteem. AMD vergelijkt Sinkhole-technologie met de methode om toegang te krijgen tot bankkluizen na het omzeilen van alarmen, bewakers en de kluisdeur.

Nisim en Okupski werpen tegen dat het exploiteren van Sinkclose toegang tot het apparaat op kernelniveau vereist, maar dergelijke kwetsbaarheden worden bijna elke maand onthuld in Windows- en Linux-besturingssystemen. Ze beweren dat geavanceerde, door de staat gesponsorde hackers die Sinkclose zouden kunnen misbruiken, mogelijk al over technieken beschikken om deze kwetsbaarheden, zowel bekend als onbekend, te misbruiken. “Er zitten nu kwetsbaarheden in de kern van al deze systemen. Ze bestaan ​​en zijn beschikbaar voor aanvallers. Dit is de volgende stap”, zegt Nissim.

De Sinkclose-technologie van Nissim en Okupski maakt gebruik van een mysterieuze functie in AMD-chips, bekend als TSluit. (In feite komt de naam Sinkclose voort uit de combinatie van de term TSluit met Sinkhole, de naam van een eerdere kwetsbaarheid in de systeembeheermodus die in 2015 in Intel-chips werd ontdekt.) Op AMD-gebaseerde apparaten verhindert een bescherming die bekend staat als TSeg dat de besturingssystemen van de computer schrijven naar Een beveiligd gedeelte van het geheugen dat is bestemd voor de systeembeheermodus, bekend als System Management Random Access Memory of SMRAM. De TSluit-functie van AMD is echter ontworpen om pc’s compatibel te laten blijven met oudere hardware die dezelfde geheugenadressen gebruikt als SMRAM, en om ander geheugen opnieuw toe te wijzen aan die SMRAM-adressen wanneer deze zijn ingeschakeld. Nissim en Okupski ontdekten dat ze, door alleen het privilegeniveau van het besturingssysteem te gebruiken, de TSluit-resetfunctie konden gebruiken om de SMM-code te misleiden om gegevens op te halen die ze hadden gemanipuleerd, op een manier die hen in staat zou stellen de processor om te leiden en deze hun code te laten uitvoeren op hetzelfde SMM-niveau met hoge privileges.

“Ik denk dat dit de meest complexe bug is die ik ooit heb uitgebuit”, zegt Okupski.

Nissim en Okupski, die beiden gespecialiseerd zijn in de beveiliging van code op laag niveau, zoals processordrivers, zeggen dat ze twee jaar geleden voor het eerst besloten om de architectuur van AMD te onderzoeken, simpelweg omdat ze vonden dat deze niet genoeg aandacht kreeg vergeleken met Intel, zelfs met zijn stijgende populariteit. marktaandeel. Ze zeggen dat ze de kritieke toestand hebben ontdekt waardoor Sinkclose kon worden gehackt, simpelweg door de documentatie van AMD te lezen en opnieuw te lezen. “Ik denk dat ik de pagina waar de kwetsbaarheid op stond zo’n duizend keer heb gelezen. Toen merkte ik het één keer en één keer op”, zegt Nissim. Ze zeggen dat ze AMD in oktober vorig jaar op de hoogte hebben gesteld van de fout, maar bijna tien maanden hebben gewacht om AMD meer tijd te geven om een ​​oplossing voor te bereiden.

Voor gebruikers die zichzelf willen beschermen zeggen Nissim en Okubski dat ze voor Windows-pc’s – die waarschijnlijk de overgrote meerderheid van de getroffen systemen uitmaken – verwachten dat patches voor SyncClose worden geïntegreerd in updates die pc-fabrikanten delen met Microsoft en die in de toekomst zullen worden opgenomen updates van het besturingssysteem. Patches voor servers, embedded systemen en Linux-apparaten kunnen gedetailleerder en handmatig zijn; Wat Linux-apparaten betreft, zal dit gedeeltelijk afhangen van de Linux-distributie die op de computer is geïnstalleerd.

Nissim en Okupski zeggen dat ze met AMD zijn overeengekomen om de komende maanden geen code te publiceren om de geldigheid van de Sinkclose-kwetsbaarheid te bewijzen, zodat er meer tijd is om het probleem op te lossen. Maar ze beweren dat ondanks elke poging van AMD of anderen om de Sinkclose-kwetsbaarheid te bagatelliseren als moeilijk te exploiteren, dit gebruikers er niet van mag weerhouden deze zo snel mogelijk te repareren. Ervaren hackers hebben hun techniek misschien al ontdekt – of misschien komen ze erachter hoe ze deze kunnen ontdekken nadat Nissim en Okubski hun bevindingen hebben gepresenteerd op de Defcon-conferentie.

IOActive-onderzoekers waarschuwen dat zelfs als Sinkclose relatief diepe toegang vereist, het diepere niveau van controle dat het biedt betekent dat potentiële doelwitten niet hoeven te wachten tot een beschikbare oplossing is geïmplementeerd. “Als de basis kapot is, zal de veiligheid van het hele systeem kapot zijn”, zegt Nissim.

Bijgewerkt om 9.00 uur ET, 9-08-2024: Nadat dit artikel was gepubliceerd, heeft AMD zijn beveiligingsbulletinpagina bijgewerkt met Chips lijst Beïnvloed door Sinkclose.