شرکت AMD در مورد یک آسیبپذیری شدید در پردازندههای خود با نام “SinkClose” هشدار داده است. این آسیبپذیری بر چندین نسل از پردازندههای EPYC، Ryzen و Threadripper تأثیر میگذارد. این آسیبپذیری به مهاجمان اجازه میدهد که با دسترسی در سطح کرنل( Kernel-level یا Ring 0 )، به سطح دسترسی بسیار پایینتری به نام Ring -2 برسند و بدافزاری نصب کنند که تقریباً غیرقابل شناسایی است.
این جمله به این معناست که Ring -2 یکی از بالاترین سطوح دسترسی در یک کامپیوتر است. این سطح دسترسی بالاتر از Ring -1 است (که برای هایپروایزرها و مجازیسازی پردازنده استفاده میشود) و همچنین بالاتر از Ring 0 است که سطح دسترسیای است که هسته سیستم عامل از آن استفاده میکند.
سطح دسترسی Ring -2 مرتبط با SMM است که یک حالت ویژه در پردازندههای مدرن است و وظایف حیاتی و سطح پایین مانند مدیریت توان و امنیت را بر عهده دارد.
به دلیل سطح دسترسی بسیار بالای SMM، این حالت از سیستمعامل جدا شده است تا از هدف قرار گرفتن آسان توسط مهاجمان و بدافزارها جلوگیری شود.
نقص پردازنده با نام SinkClose
نقص امنیتی با شناسه CVE-2023-31315 شناسایی شده و با شدت بالایی ارزیابی شده است ( امتیاز CVSS: 7.5 ) این نقص توسط “Enrique Nissim” و “Krzysztof Okupski” از شرکت IOActive کشف شده است، و آنها این حمله ارتقای دسترسی را “Sinkclose” نامگذاری کردهاند.
جزئیات کامل حملهای به نام “Sinkclose” فردا توسط پژوهشگران در یک سخنرانی در کنفرانس DefCon با این عنوان ارائه خواهد شد.
پژوهشگران گزارش میدهند که آسیبپذیری Sinkclose برای تقریباً ۲۰ سال شناسایی نشده باقی مانده و بر طیف گستردهای از مدلهای تراشههای AMD تأثیر گذاشته است.
آسیبپذیری SinkClose به مهاجمان با دسترسی در سطح کرنل اجازه میدهد تا تنظیمات SMM را تغییر دهند و از این طریق میتوانند ویژگیهای امنیتی را غیرفعال کرده و بدافزارهایی را نصب کنند که به سختی قابل شناسایی هستند.
به دلیل جدا بودن و غیرقابل مشاهده بودن Ring -2 برای سیستمعامل و هایپروایزر، تغییرات مخربی که در این سطح انجام شود از نظر ابزارهای امنیتی سیستمعامل پنهان میماند و نمیتواند شناسایی یا تصحیح شود.
Okupski به Wired گفته است که تنها راه برای شناسایی و حذف بدافزارهایی که با استفاده از آسیبپذیری SinkClose نصب شدهاند، این است که بهطور فیزیکی به پردازندهها متصل شوید و از ابزاری به نام SPI Flash programmer برای اسکن کردن حافظه و یافتن بدافزار استفاده کنید.
بر اساس اطلاعیهی شرکت AMD، مدلهای زیر تحت تأثیر قرار گرفتهاند:
- EPYC 1st, 2nd, 3rd, and 4th generations
- EPYC Embedded 3000, 7002, 7003, and 9003, R1000, R2000, 5000, and 7000
- Ryzen Embedded V1000, V2000, and V3000
- Ryzen 3000, 5000, 4000, 7000, and 8000 series
- Ryzen 3000 Mobile, 5000 Mobile, 4000 Mobile, and 7000 Mobile series
- Ryzen Threadripper 3000 and 7000 series
- AMD Threadripper PRO (Castle Peak WS SP3, Chagall WS)
- AMD Athlon 3000 series Mobile (Dali, Pollock)
- AMD Instinct MI300A
شرکت AMD در اطلاعیهی خود اعلام کرده است که بهطور بالفعل تدابیر پیشگیرانهای برای پردازندههای EPYC و AMD Ryzen که در دسکتاپها و لپتاپها استفاده میشود، منتشر کرده است.
پیامدهای واقعی آسیب پذیری و پاسخ به آن
برای اجرای حمله Sinkclose، دسترسی در سطح کرنل لازم است و AMD در بیانیهای به Wired اشاره کرده است که این موضوع باعث میشود بهرهبرداری از آسیبپذیری CVE-2023-31315 در شرایط واقعی دشوار باشد.
IOActive بیان کرده است که آسیبپذیریهای سطح کرنل هرچند عمومی نیستند، اما در حملات پیچیده رایج هستند.
گروههای تهدید پیشرفته مانند گروه Lazarus از تکنیکهای خاص و آسیبپذیریهای جدید در ویندوز برای ارتقای دسترسیهای خود و دستیابی به دسترسیهای سطح کرنل استفاده کردهاند.
گروههای باجافزاری از تکنیکهای BYOVD استفاده کرده و ابزارهای مخصوصی برای غیر فعال کردن ابزارهای امنیتی (EDR) ایجاد کرده و این ابزارها را به دیگر مجرمان سایبری میفروشند تا درآمد بیشتری کسب کنند.
گروه Scattered Spider که به خاطر مهارتهایشان در مهندسی اجتماعی شناخته شدهاند، از تکنیک BYOVD برای غیرفعال کردن ابزارهای امنیتی استفاده کردهاند.
این حملات از طریق ابزارهای مختلفی امکانپذیر است، از جمله درایورهای امضا شده توسط مایکروسافت، درایورهای آنتیویروس، درایورهای گرافیکی MSI، درایورهای معیوب OEM، و حتی ابزارهای ضد تقلب بازیها که به سطح دسترسی در سطح کرنل دسترسی دارند.
با وجود تمام مطالبی که گفته شد، آسیبپذیری Sinkclose میتواند تهدیدی جدی برای سازمانهایی باشد که از سیستمهای مبتنی بر AMD استفاده میکنند، به ویژه از سوی بازیگران تهدید دولتی و پیچیده، و نباید نادیده گرفته شود.
