Компанія AMD зіткнулася з серйозною проблемою кібербезпеки – вразливістю SinkClose, яка загрожує широкому спектру процесорів, включаючи EPYC, Ryzen та Threadripper. Ця критична вразливість дозволяє зловмисникам з привілеями рівня ядра (Ring 0) отримати доступ до надзвичайно привілейованого рівня Ring -2, що створює потенціал для встановлення практично невиявного шкідливого програмного забезпечення.
Розуміння рівнів привілеїв та System Management Mode
Для розуміння серйозності загрози важливо усвідомити ієрархію рівнів привілеїв у сучасних процесорах:
- Ring 0: рівень ядра операційної системи
- Ring -1: використовується для гіпервізорів та віртуалізації
- Ring -2: найвищий рівень привілеїв, пов’язаний з System Management Mode (SMM)
System Management Mode (SMM) – це критично важливий компонент, що відповідає за управління живленням, контроль апаратного забезпечення та виконання інших низькорівневих операцій, необхідних для стабільності системи. Зазвичай SMM ізольований від операційної системи для запобігання потенційним атакам.
Деталі вразливості SinkClose
Вразливість SinkClose, виявлена фахівцями компанії IOActive, отримала ідентифікатор CVE-2023-31315 та оцінку 7,5 балів за шкалою CVSS. Ця проблема залишалася непоміченою протягом майже 20 років, що призвело до її широкого поширення серед різних моделей процесорів AMD.
SinkClose дозволяє зловмисникам з доступом на рівні ядра (Ring 0) модифікувати налаштування System Management Mode (SMM), навіть якщо активовано блокування SMM. Це відкриває можливості для відключення захисних функцій та встановлення стійкого, практично невиявного шкідливого ПЗ.
Складність виявлення та усунення загрози
Оскільки рівень Ring -2 ізольований і “невидимий” для операційної системи та гіпервізора, виявити або усунути шкідливі модифікації за допомогою стандартних засобів захисту неможливо. Єдиний спосіб виявити та видалити шкідливе ПЗ, встановлене через SinkClose, – це фізичне підключення до процесорів за допомогою програматора SPI Flash та сканування пам’яті.
Вплив на продукцію AMD та заходи з усунення вразливості
Згідно з даними інженерів AMD, проблема SinkClose зачіпає практично всі процесори компанії, випущені з 2006 року. Це включає широкий спектр моделей EPYC, Ryzen та Threadripper для настільних комп’ютерів, ноутбуків та серверів.
AMD вже підготувала виправлення для настільних та мобільних процесорів EPYC і AMD Ryzen. Патчі для вбудованих процесорів очікуються найближчим часом. Компанія підкреслює складність експлуатації CVE-2023-31315 в реальних умовах, оскільки для здійснення атаки потрібен доступ на рівні ядра.
Незважаючи на це, експерти з IOActive наголошують, що вразливості рівня ядра, хоч і не є широко поширеними, все ж існують і можуть становити серйозну загрозу, особливо для організацій, що використовують системи на базі AMD. Дослідники погодилися не публікувати експлойти для SinkClose протягом кількох місяців, щоб дати користувачам час на усунення проблеми.
Ця ситуація підкреслює важливість постійної пильності та своєчасного оновлення систем безпеки. Організаціям та приватним користувачам, які використовують процесори AMD, рекомендується уважно стежити за оновленнями безпеки та застосовувати їх якомога швидше для мінімізації ризиків, пов’язаних з вразливістю SinkClose.