Sinkclose: процессоры AMD 18 лет уязвимы к глубокому внедрению вредоносного кода
Даже полное форматирование диска уже не спасёт ваш компьютер.
Исследователи из компании IOActive обнаружили критическую уязвимость в процессорах AMD, которая существует уже несколько десятилетий. Эта уязвимость, получившая название Sinkclose, позволяет злоумышленникам проникать в самые защищённые части компьютера, а её устранение считается задачей, близкой к невозможной. Специалисты предупреждают, что эта проблема затрагивает практически все процессоры AMD, начиная с 2006 года, а возможно, и раньше.
На конференции Defcon эксперты Энрике Ниссим и Кшиштоф Окупски, планируют представить детали этой уязвимости. Она позволяет хакерам выполнять собственный код в особо привилегированном режиме процессора AMD, который предназначен только для защищённой части его прошивки. Это открывает путь для создания вредоносного ПО, которое способно укореняться глубоко в системе и оставаться незамеченным даже при переустановке операционной системы.
Для использования уязвимости злоумышленникам необходимо получить доступ к ядру операционной системы. После этого они смогут установить на компьютер так называемый «буткит» — вредоносное ПО, которое невозможно обнаружить антивирусными программами. Это ПО предоставляет полный контроль над компьютером и сохраняется даже после перезагрузки. Более того, в случае неправильной конфигурации системы безопасности, которая, по словам исследователей, встречается у большинства протестированных ими систем, удалить такое ПО будет практически невозможно.
Окупски подчёркивает, что даже форматирование жёсткого диска не поможет избавиться от этой угрозы: «Даже если полностью очистить диск, вредоносное ПО останется. Оно почти не обнаружимо и практически не поддаётся искоренению». Единственный способ удалить такое ПО — это физически вскрыть корпус компьютера и использовать специальное оборудование для очистки памяти.
AMD признала существование этой уязвимости и поблагодарила исследователей за их работу. Компания уже выпустила исправления для некоторых своих продуктов, включая процессоры серии EPYC и Ryzen, а также планирует выпустить обновления для других линеек CPU в ближайшее время. Однако остаётся неясным, как AMD планирует полностью закрыть данную брешь, и когда это будет сделано.
Исследователи отмечают, что несмотря на сложности с эксплуатацией этой уязвимости, опытные хакеры, особенно те, кто поддерживаются государственными структурами, уже могут обладать необходимыми инструментами для её использования.
Исправления данной уязвимости будут распространяться через обновления операционных систем. Пользователям настоятельно рекомендуется установить их как можно скорее (когда они станут доступны), чтобы предотвратить возможные атаки.
Тем временем, AMD уже обновила свою страницу с бюллетенями безопасности, включив в неё список чипов, затронутых уязвимостью Sinkclose.