Sinkclose: Vulnerabilidade crítica em CPUs AMD é descoberta

Escrito por
Emanuel Negromonte
Emanuel Negromonte é Jornalista, Mestre em Tecnologia da Informação e atualmente cursa a segunda graduação em Engenharia de Software. Com 14 anos de experiência escrevendo sobre...

Recentemente, uma vulnerabilidade grave foi descoberta nos processadores AMD, afetando uma vasta gama de dispositivos desde 2006. Batizada como Sinkclose e catalogada como CVE-2023-31315, essa falha representa uma ameaça significativa à segurança dos sistemas, permitindo que invasores com acesso privilegiado modifiquem configurações críticas e executem código malicioso em níveis de privilégio elevados. Neste artigo, exploraremos como a vulnerabilidade Sinkclose funciona, os riscos envolvidos e as medidas que estão sendo tomadas para mitigar essa ameaça.

O que é a vulnerabilidade Sinkclose?

A vulnerabilidade Sinkclose foi identificada por pesquisadores da IOActive em processadores da AMD. Essa falha ocorre devido a uma verificação inadequada dos Model Specific Registers (MSR), registros específicos dos processadores que controlam várias funções do sistema. O problema permite que atacantes com acesso ao sistema contornem as proteções do System Management Mode (SMM), um modo de operação altamente privilegiado dos processadores AMD.

Como funciona o System Management Mode (SMM)?

O SMM é um modo especial de operação do processador que possui mais privilégios do que o kernel do sistema operacional e o hipervisor. Esse modo é usado para tarefas críticas de gerenciamento do sistema, como controle de energia e manipulação de hardware em nível baixo. O acesso ao SMM é rigorosamente controlado e geralmente protegido por mecanismos como o SMM Lock, que impede alterações não autorizadas.

Como a Sinkclose explora essa vulnerabilidade?

A Sinkclose explora a vulnerabilidade manipulando os Model Specific Registers (MSR) de forma que, mesmo com o SMM Lock ativado, é possível alterar certas configurações e executar código malicioso. Isso é feito através do anel de proteção 0, o nível mais alto de privilégio em um sistema operacional convencional. Uma vez que o código malicioso tenha sido injetado no SMM, ele pode operar sem ser detectado pelo sistema operacional, possibilitando a modificação de firmwares e a inserção de rootkits invisíveis.

Impacto e riscos associados à Sinkclose

A vulnerabilidade afeta quase todos os processadores AMD lançados desde 2006, incluindo séries populares como EPYC, Ryzen, Athlon e Threadripper PRO. O impacto dessa falha é potencialmente devastador, pois permite que invasores obtenham controle total sobre a memória do sistema e manipulem o funcionamento do sistema operacional sem serem detectados. Isso torna possível desde ataques persistentes a inserções de código malicioso em firmwares, que podem se manter mesmo após reinicializações do sistema.

Medidas de mitigação e atualizações de segurança

Para mitigar os riscos associados à vulnerabilidade Sinkclose, a AMD já liberou atualizações de microcódigo para várias de suas séries de processadores, incluindo as versões móveis e desktop das linhas EPYC e Ryzen. Para modelos integrados, as atualizações estão previstas para outubro. A única forma de remover completamente qualquer código malicioso que tenha sido injetado através dessa vulnerabilidade é reprogramando fisicamente o chip SPI Flash.

Conclusão

A descoberta da vulnerabilidade Sinkclose em processadores AMD destaca a importância de manter os sistemas atualizados e de compreender as ameaças que as falhas de hardware podem representar. Embora a AMD tenha respondido rapidamente com atualizações de microcódigo, os usuários devem estar atentos às atualizações e aplicar as correções assim que disponíveis para proteger seus sistemas contra possíveis ataques.

Compartilhe este artigo