HWSW: Milliónyi AMD chipet érint egy súlyos sérülékenység
- Írta: szlav
- 2024. augusztus 13.
Ritka, hogy a firmware-t érintő biztonsági sérülékenység a számítógépeket és szervereket működtető chipek gyártóinak számlájára írható, márpedig kiderült, hogy az AMD processzoraiban évtizedek óta található egy olyan sebezhetőség, amely lehetővé teszi, hogy a malware-ek olyannyira mélyen az eszköz memóriájába ékelődjenek, hogy csak körülményes úton legyen mód kiirtani azokat.
A Defcon biztonsági konferencián az IOActive biztonsági cég két kutatója demonstrálta a Sinkclose névre keresztelt sebezhetőséget, amely lehetővé teszi kiberbűnözők számára, hogy saját kódot futtathassanak az AMD processzorok legkiterjedtebb jogokkal bíró, mikrokód-frissítések betöltésére is hasznáható System Management Mode (SMM) üzemmódjában, ami a firmware egy meghatározott, védett részének van fenntartva – elméletben csak a BIOS, illetve az induló operációs rendszer férhetne hozzá. A biztonsági szakemberek szerint a Sinkclose gyakorlatilag az összes 2006 óta gyártott AMD chipet érinti, ügyfélszámítógépeket, szervereket és beágyazott rendszereket egyaránt, és a legújabb Zen-alapú processzorok sem jelentenek kivételt.
A hiba kihasználásához a rosszakaróknak már alapból rendelkezniük kell egy mély hozzáféréssel az AMD-alapú számítógéphez vagy szerver kerneléhez, de a Sinkclose hibája lehetővé teszi, hogy a rosszindulatú kódjukat még mélyebbre ültessék el, akár az operációs rendszer újratelepítése után sem lehessen tőlük megszabadulni. A sebezhető processzorokkal ellátott céleszközt a támadó megfertőzheti egy „bootkittel”, ami képes rejtve maradni az antivírus-eszközök elől, miközben a támadó teljes hozzáférést kap a gépen futó tevékenység megfigyeléséhez, a hagyományos módszerekkel szinte lehetetlen eltávolítani és detektálni.
A kutatók szerint fizikai beavatkozás is szükséges a malware eltávolításához – a gépház felnyitása után a memóriachipek egy bizonyos részéhez közvetlenül kell csatlakoztatni egy SPI Flash-t, majd a memória alapos átvizsgálása után lehetséges csak eltávolítani. Ugyan a Sinkclose kihasználásához kernelszintű hozzáférésre van szükség, gyakorlatilag minden hónapban megjelennek a Windows és a Linux rendszerekben olyan sérülékenységek, amik ezt lehetővé teszik, a szponzorált és felkészültebb államilag támogatott kiberbűnözői csoportok pedig nagy eséllyel rendelkeznek a sebezhetőség kihasználásához szükséges eszközökkel.
Már az AMD is elismerte a hibát, a javítások pedig érkeznek, ám úgy tűnik, azok sem lehetetlenítik el teljesen a pajzson talált rés kihasználását. További részletek a HWSW-n.
Az a baj hogy ezek a szarságok mert azok túl vannak lihegve...a vállalatok erősen védettek ,de mi proli emberek meg nem vagyunk a "hackerek" célpontjai. Szóval ha van amitől nem tartok az a pc-s/konzolos meghekkelés
Ha nem vagy még tag, regisztrálj! 2 perc az egész.