SinkClose: vulnerabilidade afeta milhares de processadores AMD
A AMD encontra-se a alertar para uma nova vulnerabilidade, descoberta nos seus processadores mais recentes e que pode afetar várias gerações de modelos no mercado. A falha, apelidada de SinkClose, pode afetar vários modelos de processadores EPYC, Ryzen e Threadripper.
Esta falha pode ser usada para permitir aos atacantes obterem acesso ao kernel do sistema, o que pode permitir a instalação de malware praticamente indetetável pelos sistemas de segurança tradicionais.
Se explorada, a falha pode permitir aos atacantes obterem acesso ao Ring -2 do kernel, que é um dos mais elevados a nível de permissões dentro do sistema. Este é normalmente onde se encontra o System Management Mode (SMM), que controla a gestão de energia, hardware, segurança e outras operações de baixo nível.
Tendo em conta a sua utilização bastante privilegiada, o SMM encontra-se isolado do sistema operativo, o que normalmente impede que o mesmo seja alvo de ataques e de malware.
No entanto, a falha agora identificada pela empresa IOActive permite que malware possa conseguir obter acesso a esta parte do sistema. O Sinkclose permite que os atacantes tenham acesso a um nível elevado de privilégios dentro do sistema, que pode permitir instalar malware no mesmo que poderá passar despercebido para a grande maioria dos sistemas de segurança.
Segundo os investigadores, a falha manteve-se indetetável por mais dde 20 anos, sendo que pode afetar uma grande quantidade de processadores que foram lançados neste período de tempo.
Segundo o comunicado da AMD, a falha afeta os seguintes processadores:
- EPYC 1ª, 2ª, 3ª e 4ª gerações
- EPYC Embedded 3000, 7002, 7003 e 9003, R1000, R2000, 5000 e 7000
- Ryzen Embedded V1000, V2000 e V3000
- Séries Ryzen 3000, 5000, 4000, 7000 e 8000
- Séries Ryzen 3000 Mobile, 5000 Mobile, 4000 Mobile e 7000 Mobile
- Séries Ryzen Threadripper 3000 e 7000
- AMD Threadripper PRO (Castle Peak WS SP3, Chagall WS)
- AMD Athlon série 3000 Mobile (Dali, Pollock)
- AMD Instinct MI300A
Embora a possibilidade de um utilizador vulgar ser afetado por esta falha ser relativamente baixa, ainda assim é uma porta de entrada para possíveis ataques mais sofisticados. A mesma pode começar a ser explorada para ataques diretos aos sistemas, o que pode tornar malware atualmente existente ainda mais perigoso.
A AMD confirmou que se encontra a disponibilizar correções a nível de firmware para os modelos afetados, mas de momento nem todos poderão receber as atualizações. Além disso, os modelos de processadores mais antigos eventualmente não deverão receber qualquer atualização, tendo em conta que podem até já ter deixado de receber suporte direto de praticamente todos os fabricantes.
No entanto, a falha pode ser consideravelmente importante para empresas que usem sistemas com processadores AMD, sobretudo as que tenham informação particularmente sensível.