AMD avertizează cu privire la o vulnerabilitate a procesorului cu severitate ridicată numită SinkClose care afectează mai multe generații de procesoare EPYC, Ryzen și Threadripper. Vulnerabilitatea permite atacatorilor cu privilegii la nivel de Kernel (Ring 0) să obțină privilegii Ring -2 și să instaleze malware care devine aproape nedetectabil.
Ring -2 este unul dintre cele mai înalte niveluri de privilegii de pe un computer, rulând deasupra Ring -1 (folosit pentru hipervizoare și virtualizare CPU) și Ring 0, care este nivelul de privilegii folosit de Kernel-ul unui sistem de operare.
Nivelul de privilegii Ring -2 este asociat cu funcția de Mod de Management al Sistemului (SMM) a CPU-urilor moderne. SMM gestionează gestionarea energiei, controlul hardware-ului, securitatea și alte operațiuni la un nivel scăzut necesare pentru stabilitatea sistemului.
Datorită nivelului său ridicat de privilegii, SMM este izolat de sistemul de operare pentru a preveni faptul că poate fi ușor vizat de actorii de amenințare și malware.
Urmărit sub numele de CVE-2023-31315 și evaluat cu severitate ridicată (scor CVSS: 7.5), defectul a fost descoperit de IOActive Enrique Nissim și Krzysztof Okupski, care au numit atacul de escaladare a privilegiilor ‘Sinkclose’.
Toate detaliile despre atac vor fi prezentate de cercetători mâine într-o prezentare DefCon intitulată ‘AMD Sinkclose: Escaladare Universală a Privilegiilor Ring-2’.
Cercetătorii raportează că Sinkclose a trecut nedetectat timp de aproape 20 de ani, afectând o gamă largă de modele de cipuri AMD.
Defectul SinkClose permite atacatorilor cu acces la nivel de Kernel (Ring 0) să modifice setările Modului de Management al Sistemului (SMM), chiar și atunci când SMM Lock este activat. Acest defect ar putea fi folosit pentru a dezactiva funcțiile de securitate și a plasa malware persistent, practic nedetectabil, pe un dispozitiv.
Ring -2 este izolat și invizibil pentru SO și hipervizor, astfel încât orice modificări malitioase făcute la acest nivel nu pot fi detectate sau remediate de instrumentele de securitate care rulează pe SO.
Okupski a declarat pentru Wired că singurul mod de a detecta și elimina malware-ul instalat folosind SinkClose ar fi să te conectezi fizic la CPU-uri folosind un instrument numit un programator SPI Flash și să scanezi memoria pentru malware.
Potrivit avertizării AMD, modelele următoare sunt afectate:
AMD a declarat în avertizarea sa că a eliberat deja soluții pentru procesoarele sale EPYC și desktopurile și procesoarele mobile AMD Ryzen, cu soluții suplimentare pentru procesoarele încorporate care vor veni mai târziu.
Accesul la nivel de Kernel este un prerechizit pentru efectuarea atacului Sinkclose. AMD a remarcat acest lucru într-o declarație pentru Wired, subliniind dificultatea de a exploata CVE-2023-31315 în scenarii din viața reală.
Cu toate acestea, IOActive a răspuns, spunând că vulnerabilitățile la nivel de Kernel, deși nu sunt răspândite, cu siguranță nu sunt neobișnuite în atacuri sofisticate, lucru adevărat bazat pe atacurile anterioare acoperite de BleepingComputer.
Actorii de amenințare persistentă avansată (APT), cum ar fi grupul nord-coreean Lazarus, au folosit tehnici BYOVD (Bring Your Own Vulnerable Driver) sau chiar exploatând neajunsurile zero-day ale Windows pentru a-și escalada privilegiile și a obține acces la nivel de Kernel.
Grupurile de ransomware folosesc, de asemenea, tactici BYOVD, utilizând instrumente personalizate de eliminare EDR pe care le vând altor ciberneticieni pentru profituri suplimentare.
Specialiștii în inginerie socială notorii de la Scattered Spider au fost, de asemenea, surprinși folosind BYOVD pentru a dezactiva produsele de securitate.
Aceste atacuri sunt posibile prin diverse instrumente, de la drivere semnate de Microsoft, drivere antivirus, drivere grafice MSI, drivere OEM buggate și chiar instrumente anti-cheat de jocuri care beneficiază de acces la nivel de Kernel.
Având toate acestea în vedere, Sinkclose ar putea reprezenta o amenințare semnificativă pentru organizațiile care utilizează sisteme bazate pe AMD, în special de la actorii de amenințare sponsorizați de stat și sofisticați și nu ar trebui ignorată.
Leave a Reply