Η ευπάθεια παρέχει στους εισβολείς πρόσβαση σε ένα από τα υψηλότερα επίπεδα προνομίων στα σημερινά συστήματα υπολογιστών. Έτσι το κακόβουλο λογισμικό μπορεί και αποφεύγει κάθε εντοπισμό.
Ερευνητές ασφαλείας της IOActive ανακάλυψαν μια ευπάθεια που ονομάζεται Sinkclose σε επεξεργαστές AMD, η οποία, σύμφωνα με τα στοιχεία, υπάρχει σχεδόν δύο δεκαετίες και επηρεάζει αμέτρητους επεξεργαστές του κατασκευαστή. Αυτό επιτρέπει στους εισβολείς να εκτελούν λογισμικό στη λεγόμενη λειτουργία διαχείρισης συστήματος (System Management Mode – SMM) – μια ιδιαίτερα προνομιούχα λειτουργία στην οποία η εκτέλεση δεν είναι ορατή για το λειτουργικό σύστημα και άλλες εφαρμογές.
Το SMM χρησιμοποιείται συνήθως για ειδικές λειτουργίες χαμηλού επιπέδου, όπως ο έλεγχος υλικών εξαρτημάτων ή για τη διαχείριση ενέργειας. Η λειτουργία λειτουργεί στο επίπεδο προνομίων Ring -2 και επομένως λειτουργεί ακόμη πάνω από τη λειτουργία πυρήνα (Ring 0) και τη λειτουργία hypervisor (Ring -1).
Οι ερευνητές εξήγησαν στο Wired ότι το Sinkclose επιτρέπει την εγκατάσταση bootkit που είναι αόρατα στο λειτουργικό σύστημα και το συνηθές λογισμικό προστασίας από ιούς, ενώ οι εισβολείς αποκτούν πλήρη πρόσβαση στο σύστημα του στόχου.
Μια τέτοια μόλυνση από κακόβουλο λογισμικό όχι μόνο είναι δύσκολο να εντοπιστεί, αλλά επιπλέον είναι πολύ δύσκολο να αφαιρεθεί. Ακόμη και η επανεγκατάσταση του από το λειτουργικό σύστημα δεν είναι αρκετή.
“Μόνο αν ανοίξετε το περίβλημα ενός υπολογιστή και δημιουργήσετε μια απευθείας σύνδεση με ένα συγκεκριμένο τμήμα των τσιπ μνήμης χρησιμοποιώντας ένα εργαλείο προγραμματισμού υλικού που ονομάζεται SPI Flash Programmer και ψάξετε προσεκτικά τη μνήμη, μπορεί να αφαιρεθεί το κακόβουλο λογισμικό”, δήλωσε ένας από τους ερευνητές της IOActive. “Βασικά, είναι προτιμότερο να πετάξετε τον υπολογιστή σας.”
Απαιτείται προηγούμενη πρόσβαση στον πυρήνα
Ωστόσο, η εκμετάλλευση της ευπάθειας Sinkclose, που έχει καταχωρηθεί ως CVE-2023-31315, δεν φαίνεται να είναι τόσο απλή. “Πιστεύω ότι αυτό είναι το πιο περίπλοκο σφάλμα που έχω χειριστεί ποτέ”, δήλωσε ένας από τους ερευνητές.
Η AMD τόνισε επίσης στο Wired ότι για μια επιτυχημένη επίθεση, οι εισβολείς χρειάζονταν ήδη πρόσβαση στον πυρήνα (Ring 0). Αυτό σημαίνει ότι το σύστημα στόχος πρέπει ήδη να έχει παραβιαστεί σε υψηλό επίπεδο εξουσιοδότησης. Το Sinkclose επιτρέπει απλώς στους εισβολείς να εξασφαλίσουν μια μόνιμη πρόσβαση και να παραμείνουν απαρατήρητοι.
Ωστόσο, οι ερευνητές του IOActive προειδοποιούν σχετικά με τα απαιτούμενα δικαιώματα πρόσβασης ότι ανακαλύπτονται τακτικά νέα τρωτά σημεία που παρέχουν πρόσβαση σε επίπεδο πυρήνα. Τα κατάλληλα εργαλεία exploits είναι διαθέσιμα εδώ και καιρό για διάφορα λειτουργικά συστήματα. Ειδικά οι χάκερ που υποστηρίζονται από το κράτος θα έχουν πιθανότατα πρόσβαση σε τέτοιες τεχνικές επίθεσης.
Σε μια αναφορά του Bleeping Computer αναφέρονται αρκετά παραδείγματα προηγούμενων κυβερνοεπιθέσεων στις οποίες οι εισβολείς κατάφεραν να αποκτήσουν πρόσβαση στον πυρήνα. Αυτό είναι δυνατό, μεταξύ άλλων, μέσω ευπαθειών σε εργαλεία κατά της απάτης, προγράμματα οδήγησης γραφικών, προγράμματα οδήγησης εργαλείων ασφαλείας και πολλών άλλων προγραμμάτων οδήγησης που διαθέτουν δικαιώματα σε επίπεδο πυρήνα.
Προς το παρόν τα patches είναι μερικώς διαθέσιμα
Οι ερευνητές της IOActive θα παρουσιάσουν το Sinkclose στο επερχόμενο συνέδριο Defcon 32 στο Λας Βέγκας. Σύμφωνα με την έκθεση του Wired, ενημέρωσαν την AMD για την ευπάθεια ήδη τον Οκτώβριο του 2023.
Το γεγονός ότι η ερευνητική ομάδα δημοσιοποιεί τώρα το θέμα οφείλεται στο ότι η IOActive ήθελε να δώσει στον κατασκευαστή επεξεργαστών χρόνο για να εργαστεί σε μια επιδιόρθωση. Για το λόγο αυτό, δεν θα εμφανιστεί προς το παρόν κανένας κώδικας απόδειξης λειτουργίας.
Όπως προκύπτει από ένα δελτίο ασφαλείας της AMD, υπάρχουν ήδη ενημερώσεις υλικολογισμικού για πολλούς επεξεργαστές Epyc, Athlon και Ryzen. Ωστόσο, για ορισμένους ενσωματωμένους επεξεργαστές, τα αντίστοιχα patches θα είναι διαθέσιμα από τον Οκτώβριο.
Εν τούτοις, είναι αμφίβολο αν θα υπάρξουν πραγματικά ενημερώσεις υλικολογισμικού για όλους τους επηρεαζόμενους επεξεργαστές. Σύμφωνα με την IOActive, ακόμη και οι επεξεργαστές του 2006 ή ενδεχομένως ακόμη παλαιότερα μοντέλα είναι ευάλωτα στο Sinkclose.
