Pesquisadores revelam vulnerabilidade “Sinkclose” que afeta quase todos os processadores AMD desde 2006

Pesquisadores de segurança na conferência Def Con deste ano apresentaram descobertas sobre uma vulnerabilidade antiga, mas recentemente descoberta, em processadores AMD, chamada “Sinkclose”. Embora seja bastante difícil de explorar, essa falha de segurança pode causar resultados catastróficos para qualquer sistema que seja alvo dela.

No sábado, Enrique Nissim, Consultor Principal de Segurança da IOActive, e Krzysztof Okupski, Consultor Associado Principal de Segurança, divulgaram suas pesquisas sobre a vulnerabilidade durante uma apresentação intitulada “AMD Sinkclose: Escalação de Privilégio Universal para Ring-2”. Segundo a equipe, foi identificado um defeito em um dos componentes necessários para garantir a segurança do modo de execução conhecido como Modo de Gerenciamento do Sistema (System Management Mode – SMM). Esse modo oferece aos atacantes acesso a um método de execução altamente versátil e poderoso. O exploit é invisível para proteções a nível de sistema operacional, como antivírus, anti-malware e soluções anti-trapaça comumente usadas em jogos online.

Felizmente, explorar essa vulnerabilidade não é fácil e requer que o atacante tenha acesso ao kernel do sistema primeiro. Se bem-sucedido, o invasor pode usar privilégios de Ring-0 para obter privilégios de Ring-2 e instalar um bootkit indetectável. Bootkits são malwares projetados para atacar o registro de inicialização mestre de um sistema. Uma vez instalados, não podem ser facilmente detectados ou removidos. Em alguns casos, um ataque bem-sucedido pode persistir mesmo após uma reinstalação completa do sistema operacional. Nessas situações, a máquina afetada pode precisar ser substituída por completo, em vez de passar por um processo típico de remoção de malware.

Número de níveis antes de chegar ao Kernel / Imagem: Reprodução

Apesar de ter sido recentemente relatada e catalogada como CVE-2023-31315, a vulnerabilidade Sinkclose parece ser um problema de longa data que passou despercebido em muitas CPUs de estações de trabalho e servidores da AMD nos últimos 18 anos. De acordo com o boletim de segurança de produtos da AMD, a vulnerabilidade afeta muitos processadores, incluindo CPUs para data centers, soluções gráficas, processadores embarcados, desktops, HEDTs (High-End Desktop), estações de trabalho e linhas de produtos móveis.

Os pesquisadores da IOActive divulgaram o problema para a AMD 10 meses antes do anúncio público, dando à fabricante de chips tempo para revisar e solucionar a questão. A equipe da AMD já emitiu mitigações para CPUs EPYC e Ryzen. Um porta-voz da AMD informou à Wired que outras mitigações para processadores embarcados e outros produtos afetados serão lançadas em breve, embora a empresa não tenha fornecido um cronograma oficial.

Embora as notícias iniciais e o potencial de dano possam soar alarmantes, os usuários podem ficar mais tranquilos sabendo que a vulnerabilidade passou despercebida por quase duas décadas e que aparentemente nunca foi explorada por hackers. Considerando os esforços de remediação da AMD e a dificuldade inerente que os atacantes enfrentariam para obter acesso ao nível do kernel, é altamente improvável que a exploração generalizada da vulnerabilidade ocorra.