Исследователи безопасности на выставке Def Con в этом году представили выводы относительно обнаруженной уязвимости в процессорах AMD под названием Sinkclose. Несмотря на то, что эту брешь в безопасности довольно сложно использовать, она потенциально может привести к катастрофическим последствиям для любой системы на базе процессоров.
В субботу главный консультант по безопасности IOActive Энрике Ниссим и заместитель главного консультанта по безопасности Krzysztof Okupski представили исследование уязвимостей в презентации под названием "AMD Sinkclose: эскалация привилегий Universal Ring-2". Согласно презентации, был замечен недостаток в одном из компонентов, необходимых для обеспечения режима управления системой. Этот режим предоставляет злоумышленникам доступ к универсальному и мощному методу выполнения. Эксплойт невидим для средств защиты на уровне ОС, таких как антивирусные и античит-решения, обычно используемые в онлайн-играх.
Использовать уязвимость непросто и требует, чтобы злоумышленник сначала получил доступ к ядру системы. В случае успеха злоумышленник может использовать привилегии Ring-0, чтобы получить привилегии Ring-2 для установки bootkit. Bootkit — это вредоносное ПО, предназначенное для атаки на главную загрузочную запись системы. После установки его нелегко обнаружить или удалить. В некоторых случаях успешная атака может даже сохраниться, несмотря на полную переустановку ОС.
Несмотря на то, что об уязвимости Sinkclose сообщалось совсем недавно, она, судя по всему, является давней проблемой, которая оставалась незамеченной на многих рабочих станциях и процессорах серверного класса AMD в течение последних 18 лет. Согласно бюллетеню по безопасности продуктов AMD, уязвимость затрагивает многие процессоры в центрах обработки данных, графические решения, встроенные процессоры, настольные компьютеры, HEDT, рабочие станции и линейки мобильных продуктов.
Исследователи IOActive сообщили AMD об этой проблеме за 10 месяцев до ее всеобщего объявления, что дало производителю чипов время рассмотреть и решить ее, прежде чем обнародовать информацию. Компания уже приняла меры по устранению последствий для процессоров EPYC и Ryzen. Представитель AMD сообщил Wired, что в ближайшее время появятся дополнительные меры по смягчению последствий для встроенных процессоров и других затронутых продуктов, однако, компания не предоставила официальных сроков.
Хотя первоначальные новости и потенциальный ущерб могут показаться очень серьёзными, пользователи могут быть спокойны, зная, что уязвимость оставалась незамеченной в течение почти двух десятилетий, и похоже, что хакеры никогда ею не пользовались.