Grave vulnerabilità scoperta nelle CPU AMD: rischio di malware invisibile
Una falla critica mette a rischio le CPU AMD: come gli hacker possono ottenere accesso nascosto e persistente ai tuoi sistemi
Una vulnerabilità di sicurezza chiamata Sinkclose colpisce le CPU AMD dal 2006, permettendo l'accesso a livello Ring -2. Sfruttando la funzione TClose, i malintenzionati possono installare malware persistente. AMD sta rilasciando patch, ma alcuni modelli sono ancora senza aggiornamenti.
Una vulnerabilità di sicurezza chiamata Sinkclose è stata identificata nelle CPU AMD rilasciate dal 2006 in poi, forse anche prima. Scoperta dai ricercatori Enrique Nissim e Krzysztof Okupski di IOActive, questa falla verrà presentata alla conferenza Defcon in un intervento intitolato "AMD Sinkclose: Universal Ring-2 Privilege Escalation". Tracciata come CVE-2023-31315 e giudicata con severità alta con un punteggio CVSS di 7.5, Sinkclose consente a malintenzionati con privilegi kernel di ottenere accesso al livello di privilegio Ring -2 per l'installazione di malware quasi impossibile da rilevare.
L'architettura dei privilegi di sistema
Il livello di privilegio Ring -2 è associato al System Management Mode (SMM) delle CPU, utilizzato per la gestione dell’alimentazione, il controllo dell’hardware, la sicurezza e altre operazioni di basso livello essenziali. Questo livello è isolato dal sistema operativo per prevenire attacchi. Se un attaccante ottiene l'accesso al kernel di un sistema, potrebbe eseguire codice all'interno del SMM. Ciò renderebbe possibile l'installazione di un bootkit, che rimarrebbe nascosto e persistente anche dopo la reinstallazione del sistema operativo. In certi casi, rimuovere un bootkit richiede interventi hardware notevoli, come collegarsi alla memoria del PC con un programmatore SPI Flash per ispezionarla e rimuovere il malware.
Dettagli tecnici della vulnerabilità Sinkclose
La vulnerabilità Sinkclose sfrutta una funzione ambigua dei chip AMD denominata TClose, progettata per garantire compatibilità con dispositivi più vecchi. Manipolando questa funzione, i ricercatori sono riusciti a far eseguire al processore il loro codice a livello SMM. Un hacker deve già avere accesso al kernel di un computer per sfruttare la falla, il che implica superare molteplici barriere di sicurezza. AMD ha rilasciato una dichiarazione paragonando questo accesso all'aprire cassette di sicurezza dopo aver superato gli allarmi e le guardie di una banca. AMD sta applicando patch alle sue piattaforme, ma non tutti i chip interessati hanno ricevuto aggiornamenti. Tra le CPU non ancora menzionate vi sono i Ryzen 9000 e Ryzen AI 300 basati su architettura Zen 5.
Consequenze e misure da adottare
I ricercatori Nissim e Okupski hanno atteso 10 mesi prima di rivelare la vulnerabilità, concedendo ad AMD il tempo di risolvere la situazione. Per diversi mesi, non pubblicheranno alcun proof-of-concept per permettere ulteriori risoluzioni. Sebbene l’accesso a livello kernel sia necessario per sfruttare Sinkclose, falle a questo livello sono relativamente comuni nei sistemi Windows e Linux. Gli esperti avvertono delle potenziali minacce da parte di gruppi hacker sostenuti da stati, suggerendo che abbiano già strumenti per sfruttare questa vulnerabilità. Agli utenti, in particolare alle aziende, è consigliato di implementare le correzioni tramite aggiornamenti firmware il prima possibile per mitigare i rischi.
Follow us on Threads for more pills like this08/20/2024 09:01
Marco Verro