Enrique Nissim oraz Krzysztof Okupski z IOActive odkryli lukę bezpieczeństwa, która dotyczy praktycznie wszystkich procesorów AMD wydanych od 2006 roku. Pozwala ona atakującemu na głęboką infiltrację systemu, co sprawia, że wykrycie lub usunięcie złośliwego oprogramowania jest niezwykle trudne.
Luka Sinkclose pozwala na wykonanie kodu w Trybie Zarządzania Systemem (SMM) procesorów AMD, wysoce uprzywilejowanym obszarze zwykle zarezerwowanym dla krytycznych operacji oprogramowania układowego. Jednak by ją wykorzystać, trzeba wpierw uzyskać dostęp do jądra system.
Po złamaniu zabezpieczeń, instalacja oprogramowania typu bootkit to już tylko formalność. Tym samym wykrycie i usunięcie wirusa przez standardowe aplikacje antywirusowe staje się niemożliwe. Nie pomoże nawet reinstalacja systemu. Konieczne będzie fizyczne podłączenie się programatorem do pamięci płyty głównej.
Luka wykorzystuje funkcję w procesorach AMD znaną jako TClose, która ma na celu utrzymanie kompatybilności ze starszymi urządzeniami. Manipulując tą funkcją, badacze z IOActive byli w stanie uruchomić własny kod na poziomie SMM. Metoda ta jest złożona, ale zapewnia atakującym głęboką i trwałą kontrolę nad systemem.
Enrique Nissim oraz Krzysztof Okupski wykryli lukę już 10 miesięcy, ale dopiero teraz zostanie ona publicznie zaprezentowana na najbliższej konferencji Defcon. Wpierw poinformowane zostało AMD, by mieć czas na zareagowanie i rozwiązanie problemu. Specjalna łatka wydana została już na część CPU, w tym serwerowe procesory EPYC oraz konsumenckie Ryzen. Nie obejmuje jednak jeszcze wszystkich układów.
Zobacz: Tajwan może wyciągać kieliszki. Znalazł żyłę złota
Zobacz: To koniec tanich kart graficznych AMD. Magazyny są puste
Źródło zdjęć: Shutterstock / Tester128
Źródło tekstu: Wired, oprac. własne