Sicherheitsforscher haben eine kritische Schwachstelle in AMD-Prozessoren aufgedeckt, die es Angreifern ermöglicht, höchste Systemrechte zu erlangen und nahezu unentdeckbare Malware zu installieren. Die als „SinkClose“ bezeichnete Sicherheitslücke (CVE-2023-31315) betrifft zahlreiche AMD-Prozessormodelle der letzten 20 Jahre und stellt eine ernsthafte Bedrohung für die Cybersicherheit dar.
Funktionsweise und Auswirkungen von SinkClose
Die SinkClose-Schwachstelle ermöglicht es Angreifern mit Kernel-Rechten (Ring 0), die Einstellungen des System Management Mode (SMM) zu manipulieren – selbst wenn dieser durch SMM Lock geschützt ist. Dadurch können sie Ring -2-Privilegien erlangen, die normalerweise streng isoliert und für das Betriebssystem unsichtbar sind. Diese höchste Privilegienebene wird üblicherweise für kritische Systemfunktionen wie Energieverwaltung und Hardware-Steuerung verwendet.
Besonders besorgniserregend ist, dass SinkClose die Installation von äußerst persistenter und schwer zu entdeckender Malware ermöglicht. Herkömmliche Sicherheitssoftware auf Betriebssystemebene kann diese Bedrohungen nicht erkennen oder entfernen. Die einzige Möglichkeit zur Beseitigung solcher Malware besteht laut Experten im physischen Zugriff auf den Prozessor mittels SPI-Flash-Programmiergeräten.
Betroffene AMD-Prozessoren und Risikobewertung
Die SinkClose-Schwachstelle betrifft nahezu alle AMD-Prozessoren seit 2006, darunter populäre Modellreihen wie EPYC, Ryzen und Threadripper. Mit einem CVSS-Score von 7,5 wird das Risiko als hoch eingestuft. Obwohl für die Ausnutzung Kernel-Rechte erforderlich sind, warnen Sicherheitsexperten, dass solche Privilegien durchaus erlangt werden können und die Bedrohung ernst zu nehmen ist.
Potenzielle Angreifergruppen und Szenarien
Besonders gefährdet sind Unternehmen und Organisationen, die AMD-basierte Systeme einsetzen. Sicherheitsforscher sehen vor allem staatliche Akteure als potenzielle Angreifer, die SinkClose für hochentwickelte und langfristige Cyberspionage-Kampagnen missbrauchen könnten. Die Möglichkeit, nahezu unentdeckbare Malware zu installieren, macht die Schwachstelle zu einem attraktiven Ziel für APT-Gruppen.
Gegenmaßnahmen und Empfehlungen
AMD hat bereits Sicherheitsupdates für Desktop- und Mobile-Prozessoren der EPYC- und Ryzen-Serien veröffentlicht. Updates für Embedded-Prozessoren sollen in Kürze folgen. Unternehmen und Privatanwender sollten diese Patches umgehend einspielen, um sich vor möglichen Angriffen zu schützen. Zusätzlich empfehlen Experten:
- Regelmäßige Überprüfung der Systeme auf verdächtige Aktivitäten
- Implementierung einer mehrstufigen Sicherheitsstrategie
- Beschränkung von Kernel-Zugriffsrechten auf das Notwendigste
- Schulung von Mitarbeitern zur Erkennung von Social-Engineering-Angriffen
Die Entdeckung von SinkClose unterstreicht die Bedeutung kontinuierlicher Sicherheitsforschung und prompter Patch-Bereitstellung durch Hardwarehersteller. Unternehmen sollten ihre Cybersicherheitsstrategien regelmäßig überprüfen und an neue Bedrohungen anpassen, um resilient gegen hochentwickelte Angriffe zu bleiben. Nur durch wachsame Überwachung und proaktives Handeln lassen sich die Risiken solch tiefgreifender Sicherheitslücken effektiv minimieren.