A SinkClose sebezhetőség: Egy évtizedekig rejtve maradt hiba

A SinkClose néven ismert sebezhetőséget az IOActive két kutatója, Enrique Nissim és Krzysztof Okupski fedezte fel. Ez a sebezhetőség az AMD processzorok széles skáláját érinti, beleértve az EPYC, Ryzen és Threadripper sorozatokat is. A SinkClose hibája lehetővé teszi a támadók számára, hogy a rendszermag szintjén (Ring 0) szerzett jogosultságokat felhasználva hozzáférést nyerjenek az SMM-hez, vagyis a Ring -2 szinthez.

A Ring -2 szintű jogosultság az egyik legmagasabb szint a modern processzorokban, amely az SMM működéséhez szükséges. Ezen a szinten végrehajtott módosítások teljesen láthatatlanok maradnak az operációs rendszer és a hypervisor számára, ami rendkívül nehézzé teszi a kártékony szoftverek felismerését és eltávolítását.

Bevezetés a System Management Mode (SMM) világába

A System Management Mode (SMM) az x86 architektúra egyik legmagasabb privilégiumszintű üzemmódja. Ez a speciális üzemmód kritikus fontosságú rendszerszintű feladatokat lát el, mint például az energiagazdálkodás, hardvervezérlés és különféle biztonsági műveletek, amelyek a rendszer stabilitását szolgálják. Az SMM által végrehajtott kód teljes mértékben elszigetelt az operációs rendszertől és a hypervisortól, így gyakorlatilag láthatatlan minden olyan eszköz számára, amely a rendszermag (Kernel) szintjén fut.

A SinkClose technikai részletei

A SinkClose sebezhetőség CVE-2023-31315 azonosítószámmal lett regisztrálva, és a CVSS besorolása szerint magas súlyosságú (7.5 pont). A sebezhetőség kihasználása lehetővé teszi a támadók számára, hogy az SMM beállításait módosítsák, még akkor is, ha az SMM Lock funkció engedélyezve van. Ez a hiba különösen veszélyes, mivel lehetőséget ad arra, hogy a támadók letiltsanak bizonyos biztonsági funkciókat, és olyan tartós kártékony szoftvereket telepítsenek, amelyek gyakorlatilag észrevehetetlenek maradnak a rendszer számára.

A sebezhetőség kihasználásával a támadók képesek a Platform Secure Boot mechanizmusában is hibákat kihasználni, ami tovább növeli a kártékony szoftverek túlélésének esélyét még az operációs rendszer újratelepítése után is.

Az AMD válasza és a védekezés lehetőségei

Az AMD elismerte a sebezhetőséget, és kiadott bizonyos elkerülő lehetőségeket az érintett EPYC és Ryzen processzorokhoz. Azonban fontos megjegyezni, hogy a teljes körű javítások csak a legújabb processzormodellekhez érkeznek, míg a régebbi modelleknél a javítások korlátozottak vagy egyáltalán nem elérhetők.

A védekezés szempontjából az egyik legnagyobb kihívást az jelenti, hogy a SinkClose által telepített kártékony szoftverek eltávolítása csak speciális hardvereszközökkel, például SPI Flash programozóval lehetséges. Ez a folyamat rendkívül időigényes és bonyolult, ezért sok esetben a legpraktikusabb megoldás a teljes rendszer cseréje lehet.

A SinkClose sebezhetőség komoly fenyegetést jelent minden AMD-alapú rendszerre, különösen a szerverekre és ipari berendezésekre. Bár a támadáshoz rendszermag szintű hozzáférés szükséges, az ilyen típusú sebezhetőségek kihasználása nem ismeretlen a kiberbűnözők világában. Az AMD felhasználóknak erősen javasolt, hogy tartsák naprakészen rendszereiket, és amennyiben lehetséges, alkalmazzák a kiadott biztonsági javításokat. A SinkClose hibája jól mutatja, hogy a modern processzorok tervezési hibái milyen súlyos következményekkel járhatnak, és hogy a biztonsági fenyegetések kezelése továbbra is kritikus fontosságú a számítástechnika világában.

A SinkClose sebezhetőség számos AMD processzort érint, de a javítások nem minden érintett modell esetében elérhetők. Az alábbiakban részletesen ismertetem, hogy mely rendszereket érinti a hiba, és melyeket javítják:

Érintett rendszerek

• EPYC processzorok: 1., 2., 3. és 4. generáció (Naples, Rome, Milan, Genoa)
• EPYC Embedded processzorok: 3000, 7002, 7003, és 9003 sorozatok
• Ryzen Embedded processzorok: V1000, V2000, és V3000 sorozatok
• Ryzen asztali processzorok: 3000, 5000, 4000, 7000 és 8000 sorozatok
• Ryzen mobil processzorok: 3000, 4000, 5000 és 7000 sorozatok
• Ryzen Threadripper processzorok: 3000 és 7000 sorozatok
• Threadripper PRO processzorok: Castle Peak WS SP3, Chagall WS
• Athlon mobil processzorok: 3000 sorozat (Dali, Pollock)
• AMD Instinct MI300A

Javított rendszerek

• EPYC processzorok: AMD már kiadott javításokat az 1., 2., 3. és 4. generációs EPYC processzorokhoz.
• Ryzen asztali és mobil processzorok: Az AMD kiadta a szükséges javításokat a Ryzen 3000, 4000, 5000, 7000, és 8000 sorozatokhoz, mind asztali, mind mobil változatban.
• Embedded processzorok: A javítások az Embedded processzorokhoz később érkeznek.

Nem javított rendszerek

• Régebbi Ryzen processzorok: Néhány régebbi Ryzen modell, mint például a Zen és Zen+ alapú Ryzen asztali processzorok, nem kapnak javítást. Az AMD szerint ezek a modellek már kikerültek a támogatási ciklusból.
• Bizonyos Ryzen 3000 sorozatú processzorok: Például a Zen 2 alapú Ryzen 3000 (Matisse) asztali processzorok esetében nincs tervezett javítás.

A SinkClose sebezhetőség időtartama és hatása

A SinkClose sebezhetőség közel 20 évig maradt észrevétlen, ami rendkívül hosszú idő a technológia világában. Ez azt jelenti, hogy a sebezhetőség az AMD processzorok több generációját is érinti, és mivel a hiba ilyen régóta létezik, sok különböző típusú rendszert fenyegethet, amelyek ezeket a processzorokat használják.

A támadók által kihasznált módszerek

A SinkClose kihasználása feltételezi, hogy a támadók már rendelkeznek rendszermag (Ring 0) szintű hozzáféréssel. Az ilyen hozzáférés megszerzésére különféle módszereket alkalmazhatnak, például:

• BYOVD (Bring Your Own Vulnerable Driver): A támadók sérülékeny illesztőprogramokat használhatnak, hogy rendszerszintű jogosultságot szerezzenek.
• Zero-day sebezhetőségek: Korábban ismeretlen hibákat használhatnak ki, amelyek lehetővé teszik a jogosultsági szint emelését.
• Social engineering: Személyek manipulációval rávehetik a felhasználókat olyan tevékenységek elvégzésére, amelyek kompromittálják a rendszert.

A sebezhetőség kihasználásának valószínűsége

Az AMD kijelentette, hogy a SinkClose sebezhetőség kihasználása a valóságban nehézkes, mivel a támadónak már eleve rendszermag szintű hozzáféréssel kell rendelkeznie. Ez csökkenti a sebezhetőség általános kihasználhatóságát a hétköznapi támadók számára, de még így is komoly fenyegetést jelenthet a magasabb szintű támadók, például államilag támogatott hackercsoportok számára. A biztonsági kutatók szerint, pont a fenti módszerek miatt, a rosszindulatú támadó könnyebben elérheti a célját.

Összefoglalva

A SinkClose által kihasznált SMM területére telepített kártékony szoftverek felismerése rendkívül nehéz. Az egyetlen megbízható módszer a fizikai hozzáférés a processzorhoz és egy speciális eszköz (SPI Flash programozó) használata, amely lehetővé teszi a memória alapos vizsgálatát. Ezt a módszert azonban csak szakértők tudják alkalmazni, és sok esetben a teljes rendszer újratelepítése is hatástalan lehet, mivel a kártékony szoftver túlélheti az operációs rendszer újratelepítését.

További információk, hivatkozások

• AMD biztonsági hirdetmény: AMD-SB-7014