A A+ A++

Badacze bezpieczeństwa obecni na tegorocznej konferencji Def Con przedstawili ustalenia dotyczące istniejącej od dekad, choć niedawno odkrytej luki w zabezpieczeniach procesorów AMD zwanej „Sinkclose”. Choć jest ona trudna do wykorzystania, może potencjalnie przynieść katastrofalne skutki dla każdego systemu, który będzie miał pecha i padnie jej ofiarą.

W sobotę główny konsultant ds. bezpieczeństwa IOActive Enrique Nissim i zastępca głównego konsultanta ds. bezpieczeństwa Krzysztof Okupski przedstawili badania podatności na zagrożenia w prezentacji zatytułowanej AMD Sinkclose: Universal Ring-2 Privilege Escalation. Zgodnie z prezentacją, jego zespołu zauważył lukę w jednym ze składników wymaganych do zabezpieczenia trybu wykonywania znanego jako tryb zarządzania systemem. Ten tryb zapewnia atakującym dostęp do wysoce wszechstronnej i skutecznej metody wykonania. Exploit jest niewidoczny dla zabezpieczeń na poziomie systemu operacyjnego, takich jak rozwiązania antywirusowe, chroniące przed złośliwym oprogramowaniem i oszustwami, powszechnie stosowane w grach online.

Choć luka Sinkclose jest trudna do wykorzystania, może potencjalnie przynieść katastrofalne skutki dla każdego systemu, który będzie miał pecha i padnie jej ofiarą.

Realne zagrożenie nie jest duże

Wykorzystanie tej luki nie jest (na szczęście) łatwe i wymaga od atakującego uzyskania dostępu do jądra systemu. Jeśli się powiedzie, atakujący może użyć uprawnień Ring-0, aby uzyskać uprawnienia Ring-2 i zainstalować niewykrywalny bootkit. Bootkity to złośliwe oprogramowanie zaprojektowane tak, aby atakować główny rekord rozruchowy systemu. Po zainstalowaniu nie można go łatwo wykryć ani usunąć. W niektórych przypadkach udany atak może nawet być aktywny pomimo całkowitej ponownej instalacji systemu operacyjnego. W takich scenariuszach komputer, którego dotyczy problem, może wymagać całkowitej wymiany, a nie typowego usunięcia i naprawienia złośliwego oprogramowania.

Mimo że luka w zabezpieczeniach Sinkclose została zgłoszona i śledzona jako CVE-2023-31315 dopiero niedawno, wydaje się być problemem istniejącym od dawna, który przez ostatnie 18 lat pozostawał niewykryty w wielu stacjach roboczych i procesorach klasy serwerowej AMD. Luka zagraża wielu procesorom w centrach danych, rozwiązaniach graficznych, procesorom wbudowanych, komputerom stacjonarnych, HEDT, stacjom roboczych i liniom produktów mobilnych.

AMD nie zamierza łatać starszych CPU

Badacze z IOActive ujawnili problem firmie AMD na 10 miesięcy przed jego ogłoszeniem, dając producentowi chipów czas na zapoznanie się z nim i załatanie przed upublicznieniem. Czerwony zespół wydał już rozwiązania ograniczające jego jego działanie dla procesorów EPYC i Ryzen. Rzecznik AMD powiedział Wired, że wkrótce wprowadzone zostaną dodatkowe środki zaradcze dla procesorów wbudowanych i innych produktów, których dotyczy problem. Firma nie podała jednak oficjalnego harmonogramu, a  Tom’s Hardware donosi, że serie Ryzen 1000, 2000 i 3000 wraz z Threadripper 1000 i 2000 nie otrzymają żadnych aktualizacji i pozozstaną narażone na atak. 

Chociaż pierwsze wieści i potencjalne szkody mogą wydawać się przerażające, użytkownicy mogą spać spokojnie, wiedząc, że luka ta pozostawała niewykryta przez prawie dwie dekady i wygląda na to, że hakerzy nigdy jej nie wykorzystali. Biorąc pod uwagę wysiłki zaradcze  firmy AMD i nieodłączne trudności, z jakimi borykają się osoby atakujące w uzyskaniu dostępu na poziomie jądra, powszechne wykorzystanie tej luki jest wysoce nieprawdopodobne.





Oryginalne źródło: ZOBACZ
0komentarze
0
Udostępnij na fb
Udostępnij na twitter
Udostępnij na WhatsApp

Oryginalne źródło ZOBACZ

Subskrybuj
Powiadom o

Dodaj kanał RSS

Musisz być zalogowanym aby zaproponować nowy kanal RSS

Dodaj kanał RSS
0 komentarzy
Informacje zwrotne w treści
Wyświetl wszystkie komentarze
Poprzedni artykułDwie drużyny Orła rozpoczęły sezon
Następny artykułTatry. Ludzie uciekają z tej patelni, ławki parzą, wszędzie beton. Tak wygląda centrum w Kuźnicach za 30 mln zł