Gabimi pothuajse i pandreqshëm Sinkclose prek qindra miliona çipa AMD

Të metat e sigurisë në firmware-in e kompjuterit tuaj, kodi i thellë që ngarkohet i pari kur ndizni makinën dhe kontrollon edhe mënyrën se si fillon sistemi i tij operativ, kanë qenë prej kohësh një objektiv për hakerat që kërkojnë një bazë të fshehtë. Por rrallë herë kjo lloj dobësie nuk shfaqet në firmware-in e ndonjë prodhuesi të veçantë kompjuteri, por në çipat e gjetur në qindra miliona PC dhe serverë. Tani studiuesit e sigurisë kanë gjetur një të metë të tillë që ka ekzistuar në procesorët AMD për dekada, dhe që do të lejonte malware të gërmonte aq thellë në memorien e një kompjuteri, saqë, në shumë raste, mund të jetë më e lehtë të flakësh një makinë sesa ta dezinfektosh atë.

Në konferencën e hakerëve Defcon, Enrique Nissim dhe Krzysztof Okupski, studiues nga firma e sigurisë IOActive, planifikojnë të paraqesin një dobësi në çipat AMD që ata po i quajnë Sinkclose. E meta do t’i lejonte hakerat të ekzekutonin kodin e tyre në një nga mënyrat më të privilegjuara të një procesori AMD, i njohur si Modaliteti i Menaxhimit të Sistemit, i projektuar për t’u rezervuar vetëm për një pjesë specifike dhe të mbrojtur të firmuerit të tij. Studiuesit e IOActive paralajmërojnë se ai prek pothuajse të gjithë çipat AMD që datojnë që nga viti 2006, ose ndoshta edhe më herët.

Nissim dhe Okupski vënë në dukje se shfrytëzimi i gabimit do të kërkonte që hakerët të kishin tashmë një akses relativisht të thellë në një kompjuter ose server të bazuar në AMD, por se defekti Sinkclose më pas do t’i lejonte ata të vendosnin kodin e tyre keqdashës shumë më thellë. Në fakt, për çdo makinë me një nga çipat e cenueshëm AMD, studiuesit e IOActive paralajmërojnë se një sulmues mund të infektojë kompjuterin me malware të njohur si një “bootkit” që shmang mjetet antivirus dhe është potencialisht i padukshëm për sistemin operativ, ndërkohë që ofron një haker. akses të plotë për të manipuluar makinën dhe për të mbikëqyrur aktivitetin e saj. Për sistemet me konfigurime të caktuara të gabuara në mënyrën se si një prodhues kompjuteri zbatoi veçorinë e sigurisë së AMD të njohur si Platforma Secure Boot – për të cilën studiuesit paralajmërojnë se përfshin shumicën e sistemeve që ata testuan – një infeksion malware i instaluar përmes Sinkclose mund të jetë akoma më i vështirë për t’u zbuluar ose korrigjuar. thonë ata, duke i mbijetuar edhe një riinstalimi të sistemit operativ.
“Imagjinoni hakerat e shtetit-komb ose kushdo që dëshiron të vazhdojë në sistemin tuaj. Edhe nëse e pastroni diskun tuaj, ai sërish do të jetë aty,” thotë Okupski. “Do të jetë pothuajse e pazbulueshme dhe pothuajse e pazgjidhshme.” Vetëm hapja e kasës së një kompjuteri, lidhja fizike drejtpërdrejt me një pjesë të caktuar të çipave të tij të memories me një mjet programimi të bazuar në harduer të njohur si programuesi SPI Flash dhe pastrimi i përpiktë i kujtesës do të lejonte heqjen e malware, thotë Okupski.

Nissim e përmbledh atë skenar të rastit më të keq në terma më praktikë: “Në thelb duhet ta flakësh kompjuterin”.

Në një deklaratë të ndarë me WIRED, AMD pranoi gjetjet e IOActive, falënderoi studiuesit për punën e tyre dhe vuri në dukje se “ka lëshuar opsione zbutëse për produktet e saj të qendrës së të dhënave AMD EPYC dhe produktet e AMD Ryzen PC, me zbutje për produktet e integruara AMD që vijnë së shpejti”. (Termi “embedded”, në këtë rast, i referohet çipave AMD që gjenden në sisteme të tilla si pajisjet industriale dhe makinat.) Për procesorët e saj EPYC të krijuar për t’u përdorur në serverët e qendrave të të dhënave, veçanërisht, kompania vuri në dukje se lëshoi ​​arnime më herët këtë vit. AMD nuk pranoi t’u përgjigjej pyetjeve paraprakisht se si synon të rregullojë dobësinë e Sinkclose, ose saktësisht për cilat pajisje dhe kur, por ajo tregoi një listë të plotë të produkteve të prekura që mund të gjenden në faqen e buletinit të sigurisë të faqes së saj të internetit.

Në një deklaratë në sfond për WIRED, AMD theksoi vështirësinë e shfrytëzimit të Sinkclose: Për të përfituar nga dobësia, një haker duhet të ketë tashmë akses në kernelin e një kompjuteri, thelbin e sistemit të tij operativ. AMD krahason teknikën Sinkhole me një metodë për të hyrë në kutitë e depozitave të një banke pasi ka anashkaluar tashmë alarmet e saj, rojet dhe derën e kasafortës.

Nissim dhe Okupski përgjigjen se ndërsa shfrytëzimi i Sinkclose kërkon qasje në një makinë në nivel kernel, dobësi të tilla ekspozohen në Windows dhe Linux pothuajse çdo muaj. Ata argumentojnë se hakerat e sofistikuar të sponsorizuar nga shteti të këtij lloji, të cilët mund të përfitojnë nga Sinkclose, ka të ngjarë të kenë tashmë teknika për shfrytëzimin e këtyre dobësive, të njohura apo të panjohura. “Njerëzit kanë shfrytëzime të kernelit tani për të gjitha këto sisteme,” thotë Nissim. “Ata ekzistojnë dhe janë të disponueshëm për sulmuesit. Ky është hapi tjetër.”

Studiuesit e IOActive Krzysztof Okupski (majtas) dhe Enrique Nissim. Foto: Roger Kisby
Nissim dhe teknika Sinkclose e Okupskit funksionon duke shfrytëzuar një veçori të paqartë të çipave AMD të njohur si TClose. (Emri Sinkclose, në fakt, vjen nga kombinimi i termit TClose me Sinkhole, emri i një shfrytëzimi të mëparshëm të Sistemit të Menaxhimit të Mode, i gjetur në çipat Intel në 2015.) Në makinat e bazuara në AMD, një mbrojtje e njohur si TSeg parandalon sistemet operative të kompjuterit nga shkrimi në një pjesë të mbrojtur të memories që synohet të rezervohet për Modalitetin e Menaxhimit të Sistemit i njohur si Memoria e Menaxhimit të Rastit të Aksesit të Sistemit ose SMRAM. Sidoqoftë, veçoria TClose e AMD është krijuar për të lejuar kompjuterët të qëndrojnë të pajtueshëm me pajisjet e vjetra që përdorin të njëjtat adresa memorie si SMRAM, duke rimarrë memorien tjetër në ato adresa SMRAM kur ajo është e aktivizuar. Nissim dhe Okupski zbuluan se, vetëm me nivelin e privilegjeve të sistemit operativ, ata mund të përdorin atë veçori të rimarrëveshjes TClose për të mashtruar kodin SMM për të marrë të dhënat që ata kanë ngatërruar, në një mënyrë që u lejon atyre të ridrejtojnë procesorin dhe ta bëjnë atë të ekzekutojnë kodin e tyre në të njëjtin nivel shumë të privilegjuar SMM.

“Unë mendoj se është gabimi më kompleks që kam shfrytëzuar ndonjëherë,” thotë Okupski.

Nissim dhe Okupski, të cilët të dy specializohen në sigurinë e kodit të nivelit të ulët si firmware-i i procesorit, thonë se fillimisht vendosën të hetojnë arkitekturën e AMD dy vjet më parë, thjesht sepse mendonin se nuk kishte marrë mjaftueshëm shqyrtim në krahasim me Intel, edhe pse pjesa e tregut u rrit. Ata gjetën kutinë kritike të skajit TClose që mundësoi Sinkclose, thonë ata, vetëm duke lexuar dhe rilexuar dokumentacionin e AMD. “Mendoj se e lexova faqen ku cenueshmëria ishte rreth një mijë herë,” thotë Nissim. “Dhe pastaj në një mijë e një, e vura re.” Ata paralajmëruan AMD për defektin në tetor të vitit të kaluar, thonë ata, por kanë pritur gati 10 muaj për t’i dhënë AMD më shumë kohë për të përgatitur një rregullim.

Për përdoruesit që kërkojnë të mbrohen, Nissim dhe Okupski thonë se për makineritë Windows – me gjasë shumica dërrmuese e sistemeve të prekura – ata presin që arnimet për Sinkclose të integrohen në përditësime të ndara nga prodhuesit e kompjuterave me Microsoft, të cilët do t’i fusin ato në përditësimet e ardhshme të sistemit operativ . Arnimet për serverët, sistemet e integruara dhe makinat Linux mund të jenë më të pjesshme dhe manuale; për makineritë Linux, do të varet pjesërisht nga shpërndarja e Linux-it që ka instaluar një kompjuter.

Nissim dhe Okupski thonë se ranë dakord me AMD që të mos publikojnë asnjë kod provues të konceptit për shfrytëzimin e tyre Sinkclose për disa muaj në vijim, në mënyrë që të sigurojnë më shumë kohë për zgjidhjen e problemit. Por ata argumentojnë se, pavarësisht çdo përpjekjeje nga AMD ose të tjerë për të minimizuar Sinkclose si shumë të vështirë për t’u shfrytëzuar, kjo nuk duhet t’i pengojë përdoruesit të korrigjojnë sa më shpejt të jetë e mundur. Hakerat e sofistikuar mund ta kenë zbuluar tashmë teknikën e tyre – ose mund të kuptojnë se si ta bëjnë pasi Nissim dhe Okupski të paraqesin gjetjet e tyre në Defcon.

Edhe nëse Sinkclose kërkon qasje relativisht të thellë, paralajmërojnë studiuesit e IOActive, niveli shumë më i thellë i kontrollit që ofron do të thotë që objektivat e mundshëm nuk duhet të presin për të zbatuar ndonjë rregullim të disponueshëm. “Nëse themeli prishet,” thotë Nissim, “atëherë siguria për të gjithë sistemin prishet.”