Recentemente, uma vulnerabilidade grave foi descoberta nos processadores AMD, afetando uma vasta gama de dispositivos desde 2006. Batizada como Sinkclose e catalogada como CVE-2023-31315, essa falha representa uma ameaça significativa à segurança dos sistemas, permitindo que invasores com acesso privilegiado modifiquem configurações críticas e executem código malicioso em níveis de privilégio elevados. Neste artigo, exploraremos como a vulnerabilidade Sinkclose funciona, os riscos envolvidos e as medidas que estão sendo tomadas para mitigar essa ameaça.
O que é a vulnerabilidade Sinkclose?
A vulnerabilidade Sinkclose foi identificada por pesquisadores da IOActive em processadores da AMD. Essa falha ocorre devido a uma verificação inadequada dos Model Specific Registers (MSR), registros específicos dos processadores que controlam várias funções do sistema. O problema permite que atacantes com acesso ao sistema contornem as proteções do System Management Mode (SMM), um modo de operação altamente privilegiado dos processadores AMD.
Como funciona o System Management Mode (SMM)?
O SMM é um modo especial de operação do processador que possui mais privilégios do que o kernel do sistema operacional e o hipervisor. Esse modo é usado para tarefas críticas de gerenciamento do sistema, como controle de energia e manipulação de hardware em nível baixo. O acesso ao SMM é rigorosamente controlado e geralmente protegido por mecanismos como o SMM Lock, que impede alterações não autorizadas.
Como a Sinkclose explora essa vulnerabilidade?
A Sinkclose explora a vulnerabilidade manipulando os Model Specific Registers (MSR) de forma que, mesmo com o SMM Lock ativado, é possível alterar certas configurações e executar código malicioso. Isso é feito através do anel de proteção 0, o nível mais alto de privilégio em um sistema operacional convencional. Uma vez que o código malicioso tenha sido injetado no SMM, ele pode operar sem ser detectado pelo sistema operacional, possibilitando a modificação de firmwares e a inserção de rootkits invisíveis.
Impacto e riscos associados à Sinkclose
A vulnerabilidade afeta quase todos os processadores AMD lançados desde 2006, incluindo séries populares como EPYC, Ryzen, Athlon e Threadripper PRO. O impacto dessa falha é potencialmente devastador, pois permite que invasores obtenham controle total sobre a memória do sistema e manipulem o funcionamento do sistema operacional sem serem detectados. Isso torna possível desde ataques persistentes a inserções de código malicioso em firmwares, que podem se manter mesmo após reinicializações do sistema.
Medidas de mitigação e atualizações de segurança
Para mitigar os riscos associados à vulnerabilidade Sinkclose, a AMD já liberou atualizações de microcódigo para várias de suas séries de processadores, incluindo as versões móveis e desktop das linhas EPYC e Ryzen. Para modelos integrados, as atualizações estão previstas para outubro. A única forma de remover completamente qualquer código malicioso que tenha sido injetado através dessa vulnerabilidade é reprogramando fisicamente o chip SPI Flash.
Conclusão
A descoberta da vulnerabilidade Sinkclose em processadores AMD destaca a importância de manter os sistemas atualizados e de compreender as ameaças que as falhas de hardware podem representar. Embora a AMD tenha respondido rapidamente com atualizações de microcódigo, os usuários devem estar atentos às atualizações e aplicar as correções assim que disponíveis para proteger seus sistemas contra possíveis ataques.
