Источник изображения: convertcrypto.ru
Специалисты по безопасности обнаружили уязвимость в процессорах AMD, которая может быть использована для установки вредоносного ПО, способного «пережить» даже переустановку операционной системы.
Уязвимость затрагивает режим работы чипов AMD, называемый «System Management Mode» (SMM). Этот режим предназначен для управления системными функциями, такими как энергопотребление и управление оборудованием. Исследователи из компании IOActive выяснили, что SMM также обладает высокими привилегиями, которые можно использовать в злонамеренных целях.
Как сообщает издание PCMag со ссылкй на Wired, уязвимость, получившая название «Sinkclose», позволяет злоумышленнику получить системные привилегии на глубоком уровне системы AMD, будь то ПК или сервер, что может позволить устанавливать вредоносное ПО вне операционной системы, непосредственно в прошивку, которое в последствии трудно будет обнаружить и удалить.
AMD начала разработку патча сразу после того, как об уязвимости стало известно в октябре прошлого года. В пятницу компания выпустила обновления безопасности для процессоров AMD Ryzen и Epyc, предупредив, что уязвимость имеет «высокий» уровень опасности. Похоже, что производителям материнских плат и, возможно, Microsoft потребуется время, чтобы распространить исправление среди пользователей.
Тем не менее, в AMD утверждают, что в целом использовать уязвимость непросто. Исследователи IOActive добавляют, что Sinkclose связана с манипулированием малоизвестной функцией чипов AMD, известной как TClose. По словам AMD, Sinkclose может быть использована только в том случае, если злоумышленник уже имеет доступ к компьютеру с привилегиями для внесения изменений в ядро операционной системы.
Несмотря на это, исследователи IOActive считают, что Sinkclose представляет серьезную угрозу, если элитные хакеры, например, спонсируемые государством, найдут способ ее использовать. «Хотя для эксплуатации Sinkclose требуется доступ к машине на уровне ядра, такие уязвимости обнаруживаются в Windows и Linux практически каждый месяц», — заявили исследователи изданию Wired.
Команда IOActive планирует поделиться более подробной информацией об уязвимости на конференции по безопасности DEF CON в Лас-Вегасе. Однако они воздерживаются от публикации какого-либо рабочего кода, демонстрирующего, как можно использовать Sinkclose, по крайней мере, в течение следующих нескольких месяцев, чтобы дать AMD дополнительное время на устранение уязвимости.
Важно отметить, что выпущенное AMD программное исправление не охватывает настольные процессоры AMD Ryzen 3000 и более ранние модели. Также исследователи из Wired отметили, что «эта проблема на уровне кремния, похоже, оставалась незамеченной почти два десятилетия».