Recentemente, uma vulnerabilidade grave foi descoberta nos processadores AMD, afetando uma vasta gama de dispositivos desde 2006. Batizada como Sinkclose e catalogada como CVE-2023-31315, essa falha representa uma ameaça significativa à segurança dos sistemas, permitindo que invasores com acesso privilegiado modifiquem configurações críticas e executem código malicioso em níveis de privilégio elevados. Neste artigo, exploraremos como a vulnerabilidade Sinkclose funciona, os riscos envolvidos e as medidas que estão sendo tomadas para mitigar essa ameaça.
O que é a vulnerabilidade Sinkclose?
A vulnerabilidade Sinkclose foi identificada por pesquisadores da IOActive em processadores da AMD. Essa falha ocorre devido a uma verificação inadequada dos Model Specific Registers (MSR), registros específicos dos processadores que controlam várias funções do sistema. O problema permite que atacantes com acesso ao sistema contornem as proteções do System Management Mode (SMM), um modo de operação altamente privilegiado dos processadores AMD.
Como funciona o System Management Mode (SMM)?
O SMM é um modo especial de operação do processador que possui mais privilégios do que o kernel do sistema operacional e o hipervisor. Esse modo é usado para tarefas críticas de gerenciamento do sistema, como controle de energia e manipulação de hardware em nível baixo. O acesso ao SMM é rigorosamente controlado e geralmente protegido por mecanismos como o SMM Lock, que impede alterações não autorizadas.
Como a Sinkclose explora essa vulnerabilidade?
A Sinkclose explora a vulnerabilidade manipulando os Model Specific Registers (MSR) de forma que, mesmo com o SMM Lock ativado, é possível alterar certas configurações e executar código malicioso. Isso é feito através do anel de proteção 0, o nível mais alto de privilégio em um sistema operacional convencional. Uma vez que o código malicioso tenha sido injetado no SMM, ele pode operar sem ser detectado pelo sistema operacional, possibilitando a modificação de firmwares e a inserção de rootkits invisíveis.
Notícias Relacionadas
AMD vs ZLUDA
AMD pede que desenvolvedor da ZLUDA remova tradução de código aberto, entenda o que aconteceu
Este post explora a recente controvérsia envolvendo a AMD e o desenvolvedor do ZLUDA, um projeto de tradução de código aberto. Discutimos as implicações dessa situação e o que isso pode significar para o futuro da computação.
Drivers AMD
O driver de gráficos Linux da AMD de código aberto pode chegar a quase 6 milhões de linhas
Exploramos os desafios da AMD no desenvolvimento do seu driver de gráficos de kernel Linux de código aberto, que agora se aproxima de 5,8 milhões de linhas de código.
Impacto e riscos associados à Sinkclose
A vulnerabilidade afeta quase todos os processadores AMD lançados desde 2006, incluindo séries populares como EPYC, Ryzen, Athlon e Threadripper PRO. O impacto dessa falha é potencialmente devastador, pois permite que invasores obtenham controle total sobre a memória do sistema e manipulem o funcionamento do sistema operacional sem serem detectados. Isso torna possível desde ataques persistentes a inserções de código malicioso em firmwares, que podem se manter mesmo após reinicializações do sistema.
Medidas de mitigação e atualizações de segurança
Para mitigar os riscos associados à vulnerabilidade Sinkclose, a AMD já liberou atualizações de microcódigo para várias de suas séries de processadores, incluindo as versões móveis e desktop das linhas EPYC e Ryzen. Para modelos integrados, as atualizações estão previstas para outubro. A única forma de remover completamente qualquer código malicioso que tenha sido injetado através dessa vulnerabilidade é reprogramando fisicamente o chip SPI Flash.
Conclusão
A descoberta da vulnerabilidade Sinkclose em processadores AMD destaca a importância de manter os sistemas atualizados e de compreender as ameaças que as falhas de hardware podem representar. Embora a AMD tenha respondido rapidamente com atualizações de microcódigo, os usuários devem estar atentos às atualizações e aplicar as correções assim que disponíveis para proteger seus sistemas contra possíveis ataques.
