Luka bezpieczeństwa w procesorach AMD. Zagrożone miliony komputerów

Specjaliści z dziedziny bezpieczeństwa informatycznego, Enrique Nissim i Krzysztof Okupski z firmy IOActive, odkryli poważną lukę w zabezpieczeniach procesorów AMD Ryzen i Epyc. Luka "Sinkclose" ma występować w milionach komputerów na całym świecie. Niestety, nie istnieje prosty sposób na jej naprawę. W najgorszym scenariuszu, jedynym rozwiązaniem może być pozbycie się komputera.

Luki bezpieczeństwa mogą występować nie tylko w oprogramowaniu, ale również w podzespołach komputerowych, takich jak procesory czy układy pamięci. Zagrożenie jest spore, bo mogą one stwarzać ryzyko zainfekowania systemu i przejęcia poufnych informacji.

Tak też może być w przypadku nowej luki, którą odkrył Enrique Nissim i Krzysztof Okupski z firmy IOActive. Szczegóły dotyczące tego zagrożenia zostały ujawnione na konferencji Defcon. Według badaczy, luka występuje w praktycznie wszystkich procesorach AMD wydanych od 2006 roku, a być może nawet w jeszcze starszych modelach. Nieoficjalnie mówi się, że problem dotyczy milionów komputerów, serwerów i systemów wbudowanych.

Dalsza część artykułu pod materiałem wideo

Serwis Wired opisuje, że luka umożliwia cyberprzestępcom uruchomienie własnego kodu w System Management Mode (SMM), czyli obszarze procesorów o wysokich uprawnieniach, zazwyczaj zarezerwowanym dla krytycznych operacji oprogramowania układowego.

Dzięki luce, cyberprzestępcy mogą zainstalować złośliwe oprogramowanie typu bootkit, które jest potencjalnie niewidoczne dla systemu operacyjnego. To daje hakerowi pełny dostęp do manipulacji maszyną i monitorowania jej aktywności. Co więcej, takie oprogramowanie może przetrwać nawet po ponownej instalacji systemu operacyjnego.

Jednakże, aby wykorzystać lukę, atakujący muszą uzyskać dostęp do jądra systemu. To nie jest łatwe zadanie, ale doświadczeni hakerzy mogą dysponować narzędziami umożliwiającymi jego przeprowadzenie.

Okupski wyjaśnia, jak poważne mogą być konsekwencje: "Wyobraźmy sobie hakerów z państw narodowych lub kogokolwiek, kto chce przetrwać w naszym systemie. Nawet jeśli wyczyścisz dysk do czysta, nadal tam będzie". Dodaje, że takie oprogramowanie "będzie prawie niewykrywalne i prawie nie do naprawienia".

Aby usunąć złośliwe oprogramowanie, konieczne jest otwarcie komputera, połączenie się z określoną częścią jego pamięci za pomocą programatora SPI Flash, dokładne sprawdzenie pamięci, a następnie usunięcie wykrytego oprogramowania. To nie jest łatwe zadanie. Nissim tłumaczy najgorszy scenariusz w bardziej dobitny sposób: "Zasadniczo musisz wyrzucić swój komputer".

Badacze czekali 10 miesięcy, zanim ujawnili lukę, aby dać AMD więcej czasu na jej naprawienie. Producent potwierdził istnienie luki i rozpoczął udostępnianie poprawek łagodzących jej skutki. Poprawki dla niektórych urządzeń zostały już wydane, a kolejne mają pojawić się wkrótce. Jednak AMD wciąż nie ujawniło, w jaki sposób zamierza zająć się luką we wszystkich dotkniętych procesorach.

Choć oficjalnie nie ma informacji o wykorzystaniu luki Sinkclose, doświadczeni hakerzy sponsorowani przez państwa mogą już posiadać środki do wykorzystania jej do ataków na komputery. Badacze ostrzegają, że luka stanowi poważne zagrożenie, a użytkownicy nie powinni zwlekać ze wdrożeniem dostępnych poprawek.