Компания AMD предупреждает о серьезной уязвимости в процессорах под названием SinkClose, которая затрагивает несколько поколений процессоров EPYC, Ryzen и Threadripper. Уязвимость позволяет злоумышленникам с привилегиями уровня ядра (Ring 0) получить привилегии Ring -2 и установить вредоносное ПО, которое становится практически необнаружимым.
Ring -2 – это один из самых высоких уровней привилегий на компьютере, который находится выше Ring -1 (используется для гипервизоров и виртуализации процессора) и Ring 0 который является уровнем привилегий, используемым ядром операционной системы.
Уровень привилегий Ring -2 связан с функцией System Management Mode (SMM) современных процессоров. SMM управляет питанием, аппаратным контролем, безопасностью и другими низкоуровневыми операциями, необходимыми для стабильности системы.
Благодаря высокому уровню привилегий, SMM изолирован от операционной системы, чтобы предотвратить легкую атаку на него со стороны угроз и вредоносного ПО.
Уязвимость процессора SinkClose
Отслеживаемая как CVE-2023-31315 и имеющая высокую степень серьезности (CVSS score: 7.5), уязвимость была обнаружена сотрудниками IOActive Энрике Ниссимом и Кшиштофом Окупски, которые назвали атаку повышения привилегий «Sinkclose».
Полную информацию об атаке исследователи представят на DefCon в докладе под названием «AMD Sinkclose: Universal Ring-2 Privilege Escalation».
Исследователи сообщают, что Sinkclose оставалась незамеченной в течение почти 20 лет и затрагивала широкий спектр моделей чипов AMD.
Дефект SinkClose позволяет злоумышленникам с доступом на уровне ядра (Ring 0) изменять настройки режима управления системой (SMM), даже если блокировка SMM включена. Этот недостаток может быть использован для отключения функций безопасности и установки на устройство стойкого, практически необнаруживаемого вредоносного ПО.
Ring -2 изолировано и невидимо для ОС и гипервизора, поэтому любые вредоносные модификации, сделанные на этом уровне, не могут быть пойманы или устранены средствами безопасности, работающими в ОС.
Окупски рассказал Wired, что единственным способом обнаружить и удалить вредоносное ПО, установленное с помощью SinkClose, будет физическое подключение к процессорам с помощью инструмента под названием SPI Flash-программатор и сканирование памяти на наличие вредоносного ПО.
Согласно сообщению AMD, проблема затронула следующие модели:
- EPYC 1-го, 2-го, 3-го и 4-го поколений
- EPYC Embedded 3000, 7002, 7003 и 9003, R1000, R2000, 5000 и 7000
- Ryzen Embedded V1000, V2000 и V3000
- Ryzen 3000, 5000, 4000, 7000 и 8000 серии
- Ryzen 3000 Mobile, 5000 Mobile, 4000 Mobile и 7000 Mobile
- Ryzen Threadripper серий 3000 и 7000
- AMD Threadripper PRO (Castle Peak WS SP3, Chagall WS)
- AMD Athlon 3000 series Mobile (Dali, Pollock)
- AMD Instinct MI300A
В своем сообщении AMD заявила, что уже выпустила исправления для настольных и мобильных процессоров EPYC и AMD Ryzen, а исправления для встроенных процессоров появятся позже.
Реальные последствия и ответные меры
Доступ на уровне ядра является необходимым условием для осуществления атаки Sinkclose. AMD отметила это в заявлении для Wired, подчеркнув сложность эксплуатации CVE-2023-31315 в реальных сценариях.
Однако IOActive в ответ заявила, что уязвимости на уровне ядра хотя и не являются широко распространенными, но, безусловно, нередки в сложных атаках, что подтверждается предыдущими атаками.
Участники атак с использованием современных постоянных угроз (APT), такие как северокорейская группа Lazarus, применяют методы BYOVD (Bring Your Own Vulnerable Driver) или даже используют дефекты нулевого дня в Windows для повышения привилегий и получения доступа на уровне ядра.
Банды разработчиков вымогательского ПО также используют тактику BYOVD, применяя пользовательские инструменты для уничтожения EDR, которые они продают другим киберпреступникам для получения дополнительной прибыли.
Небезызвестные специалисты по социальной инженерии Scattered Spider также были замечены в использовании BYOVD для отключения продуктов безопасности.
Эти атаки возможны с помощью различных инструментов, начиная от драйверов с подписью Microsoft антивирусных драйверов, графических драйверов MSI поддельных OEM-драйверов и заканчивая игровыми античит-инструментами, имеющими доступ на уровне ядра.
Комментарии (0)