Wykryto poważną lukę bezpieczeństwa w procesorach AMD. Pozostaje wyrzucić komputer do kosza

Odkrycia dokonali Enrique Nissim i Krzysztof Okupski z firmy IOActive, a szczegóły dotyczące zagrożenia ujawniono na konferencji Defcon. Według badaczy luka występuje praktycznie we wszystkich procesorach AMD wydanych od 2006 roku (a być może nawet w jeszcze wcześniejszych modelach). Nieoficjalnie mówi się o milionach komputerów, serwerów i systemów wbudowanych.

Jak opisuje serwis Wired, luka Sinkclose (podatność CVE-2023-31315) umożliwia cyberprzestępcom uruchomienie własnego kodu w System Management Mode (SMM), czyli wysoce uprzywilejowanym obszarze procesorów, zwykle zarezerwowanym dla krytycznych operacji oprogramowania układowego.

Luka umożliwia zainstalowanie złośliwego oprogramowania typu bootkit, które jest potencjalnie niewidoczne dla systemu operacyjnego, oferując jednocześnie hakerowi pełny dostęp do manipulacji maszyną i monitorowania jej aktywności. Co więcej oprogramowanie może przetrwać nawet po ponownej instalacji systemu operacyjnego.

Warto jednak zaznaczyć, że aby wykorzystać tę lukę, atakujący muszą uzyskać dostęp do jądra systemu. Taki atak nie jest łatwy, ale doświadczeni hakerzy mogą dysponować narzędziami umożliwiającymi jego przeprowadzenie.

"Wyobraźmy sobie hakerów z państw narodowych lub kogokolwiek, kto chce przetrwać w naszym systemie. Nawet jeśli wyczyścisz dysk do czysta, nadal tam będzie" - mówi Okupski. "Będzie prawie niewykrywalny i prawie nie do naprawienia".

Żeby usunąć złośliwe oprogramowanie, trzeba otworzyć komputer, połączyć się z określoną częścią jego pamięci za pomocą programatora SPI Flash, dokładnie sprawdzić pamięć, a następnie usunąć wykryte oprogramowanie. Nie jest to łatwe zadanie. Nissim tłumaczy najgorszy scenariusz w bardziej dobitny sposób: "Zasadniczo musisz wyrzucić swój komputer".

Badacze czekali 10 miesięcy, zanim ujawnili lukę, aby dać AMD więcej czasu na jej naprawienie. Producent potwierdził istnienie luki i rozpoczął udostępnianie poprawek łagodzących jej skutki. Poprawki dla niektórych urządzeń zostały już wydane, a kolejne mają pojawić się wkrótce. Jednak AMD wciąż nie ujawniło, w jaki sposób zamierza zająć się luką we wszystkich dotkniętych procesorach. Firma AMD opublikowała rozpiskę aktualizacji dla poszczególnych generacji procesorów Ryzen, Ryzen Threadripper, Epyc i Instinct. Rozpiska nie obejmuje jednak wszystkich generacji procesorów (np. Ryzen/Ryzen Threadripper 1000 i 2000) i nie wiadomo, jak producent planuje tutaj zająć się luką. W przypadku modeli Ryzen 3000 producent nie będzie podejmować żadnych działań.

Co prawda oficjalnie nie wiadomo o wykorzystaniu luki Sinkclose, ale doświadczeni hakerzy sponsorowani przez państwa mogą już posiadać środki do wykorzystania jej do ataków na komputery. Badacze ostrzegają, że luka stanowi poważne zagrożenie, a użytkownicy nie powinni zwlekać ze wdrożeniem dostępnych poprawek.