HWSW: Milliónyi AMD chipet érint egy súlyos sérülékenység

  • Írta: szlav
  • 2024. augusztus 13.
  • Hardver
Link másolása
A Sinkclose névre keresztelt sérülékenység gyakorlatilag az összes 2006 óta gyártott processzorban kihasználható - írja a HWSW.

Ritka, hogy a firmware-t érintő biztonsági sérülékenység a számítógépeket és szervereket működtető chipek gyártóinak számlájára írható, márpedig kiderült, hogy az AMD processzoraiban évtizedek óta található egy olyan sebezhetőség, amely lehetővé teszi, hogy a malware-ek olyannyira mélyen az eszköz memóriájába ékelődjenek, hogy csak körülményes úton legyen mód kiirtani azokat.

A Defcon biztonsági konferencián az IOActive biztonsági cég két kutatója demonstrálta a Sinkclose névre keresztelt sebezhetőséget, amely lehetővé teszi kiberbűnözők számára, hogy saját kódot futtathassanak az AMD processzorok legkiterjedtebb jogokkal bíró, mikrokód-frissítések betöltésére is hasznáható System Management Mode (SMM) üzemmódjában, ami a firmware egy meghatározott, védett részének van fenntartva – elméletben csak a BIOS, illetve az induló operációs rendszer férhetne hozzá. A biztonsági szakemberek szerint a Sinkclose gyakorlatilag az összes 2006 óta gyártott AMD chipet érinti, ügyfélszámítógépeket, szervereket és beágyazott rendszereket egyaránt, és a legújabb Zen-alapú processzorok sem jelentenek kivételt.

A hiba kihasználásához a rosszakaróknak már alapból rendelkezniük kell egy mély hozzáféréssel az AMD-alapú számítógéphez vagy szerver kerneléhez, de a Sinkclose hibája lehetővé teszi, hogy a rosszindulatú kódjukat még mélyebbre ültessék el, akár az operációs rendszer újratelepítése után sem lehessen tőlük megszabadulni. A sebezhető processzorokkal ellátott céleszközt a támadó megfertőzheti egy „bootkittel”, ami képes rejtve maradni  az antivírus-eszközök elől, miközben a támadó teljes hozzáférést kap a gépen futó tevékenység megfigyeléséhez, a hagyományos módszerekkel szinte lehetetlen eltávolítani és detektálni.

A kutatók szerint fizikai beavatkozás is szükséges a malware eltávolításához – a gépház felnyitása után a memóriachipek egy bizonyos részéhez közvetlenül kell csatlakoztatni egy SPI Flash-t, majd a memória alapos átvizsgálása után lehetséges csak eltávolítani. Ugyan a Sinkclose kihasználásához kernelszintű hozzáférésre van szükség, gyakorlatilag minden hónapban megjelennek a Windows és a Linux rendszerekben olyan sérülékenységek, amik ezt lehetővé teszik, a szponzorált és felkészültebb államilag támogatott kiberbűnözői csoportok pedig nagy eséllyel rendelkeznek a sebezhetőség kihasználásához szükséges eszközökkel.

Már az AMD is elismerte a hibát, a javítások pedig érkeznek, ám úgy tűnik, azok sem lehetetlenítik el teljesen a pajzson talált rés kihasználását. További részletek a HWSW-n.

3.
3.
huster14
Marha jó, az elmúlt 2 év Intelei instabilak, az AMD-k meg lassan több évtizedig rommá hackelhetőek xd Lassan kész öngyilkosság PC-t építeni.
2.
2.
crytek
#1: Ha ez így lenne akkor már rég vagy törve lenne mindkét gép vagy tömegesen lenne per a sony ms páros ellen mert folyamatosan tünnek el az emberek bankkártya adatai és pénzei stb...
Az a baj hogy ezek a szarságok mert azok túl vannak lihegve...a vállalatok erősen védettek ,de mi proli emberek meg nem vagyunk a "hackerek" célpontjai. Szóval ha van amitől nem tartok az a pc-s/konzolos meghekkelés
1.
1.
cobrausa24
Meg feltételem a konzolokra is igaz, tehát mind az Xbox, mind a Playstation gépekre, mert azok is AMD chipeket kapnak egy ideje. Nem túl jó hír ez semelyik területen úgy egyébként.
Hozzászólás írásához be kell jelentkezned!
Ha nem vagy még tag, regisztrálj! 2 perc az egész.
Egy kis türelmet kérünk...