‘Sinkclose’, AMD’nin 2006’dan beri piyasaya sürdüğü işlemcilerin hemen hemen hepsini etkileyen yakın zamanda keşfedilen büyük bir güvenlik açığının adıdır. Bu kusur, saldırganların bir sisteme derinlemesine sızmasına olanak tanır ve kötü amaçlı yazılımları tespit etmeyi veya kaldırmayı son derece zorlaştırır. Sorun o kadar ciddidir ki, bazı durumlarda, enfekte olmuş bir makineyi onarmaktansa terk etmek daha kolay olabilir, raporlar Kablolu.
Ancak iyi bir haber var: 18 yıldır keşfedilmediği için muhtemelen kullanılmamıştır. Ayrıca, AMD yama platformlarını korumak için bir yama yayınladı, ancak etkilenen tüm işlemciler henüz bir yama almadı.
Sinkclose antivirüslerden kaçınır ve işletim sistemi yeniden yüklendikten sonra bile varlığını sürdürür
Sinkclose güvenlik açığı, bilgisayar korsanlarının AMD işlemcilerinin Sistem Yönetim Modu’nda (SMM) kod yürütmesine olanak tanır; bu, genellikle kritik aygıt yazılımı işlemleri için ayrılmış oldukça ayrıcalıklı bir alandır. Bu açığı istismar etmek için saldırganların önce bir sistemin çekirdeğine erişmesi gerekir; bu kolay değildir ancak mümkündür. Ancak, sistem daha önce başka bir saldırı tarafından tehlikeye atılmış olmalıdır.
Bu erişim güvence altına alındığında, Sinkclose güvenlik açığı, saldırganların standart antivirüs araçları tarafından tespit edilemeyen, sistem içinde neredeyse görünmez kalan ve işletim sistemi yeniden yüklendikten sonra bile varlığını sürdürebilen önyükleme kiti kötü amaçlı yazılımını yüklemelerine olanak tanıyor.
Güvenlik açığı, eski cihazlarla uyumluluğu sürdürmeyi amaçlayan TClose olarak bilinen AMD yongalarındaki belirsiz bir özellikten yararlanıyor. Araştırmacılar bu özelliği manipüle ederek işlemciyi kendi kodlarını SMM düzeyinde yürütmesi için yönlendirebildiler. Bu yöntem karmaşıktır ancak saldırganlara sistem üzerinde derin ve kalıcı bir kontrol sağlar.
IOActive’den güvenlik araştırmacıları Enrique Nissim ve Krzysztof Okupski, Sinkclose açığını tespit etti. Bunu yarın Defcon konferansında sunacaklar.
AMD’nin yaptığı bir açıklamada, “Bu güvenlik açığından yararlanmak için bir bilgisayar korsanının, bilgisayarın çekirdeğine, yani işletim sisteminin özüne erişime sahip olması gerekiyor” denildi. Kablolu AMD, Sinkhole tekniğini bir bankanın alarmlarını, muhafızlarını ve kasa kapısını geçtikten sonra kiralık kasalara erişmeye benzetiyor.
Nissim ve Okupski, Sinkclose’u istismar etmenin çekirdek düzeyinde erişim gerektirmesine rağmen, bu düzeydeki güvenlik açıklarının Windows ve Linux sistemlerinde sıklıkla keşfedildiğini belirtiyorlar. İleri düzey devlet destekli bilgisayar korsanlarının bu tür güvenlik açıklarını istismar etmek için muhtemelen zaten araçlara sahip olduğunu öne sürüyorlar. Araştırmacılara göre, çekirdek istismarları kolayca erişilebilir olduğundan, Sinkclose saldırganlar için bir sonraki adımdır. Kötü amaçlı yazılımı kaldırmak için, bilgisayarı açmak, bir SPI Flash programlayıcısı kullanarak belleğinin belirli bir bölümüne bağlanmak, belleği dikkatlice incelemek ve ardından kötü amaçlı yazılımı kaldırmak gerekir.
AMD CPU’larının geniş bir yelpazesini etkiler
Sinkclose açığı, istemci bilgisayarlarda, sunucularda ve gömülü sistemlerde kullanılan çok çeşitli AMD işlemcilerini etkiler. Ne yazık ki, platform Güvenli Önyükleme özelliği bir bilgisayar üreticisi veya anakart üreticileri tarafından düzgün bir şekilde uygulanmayan AMD’nin en son Zen tabanlı işlemcileri, AMD’nin güvenli bölgesine yüklenen kötü amaçlı yazılımları tespit etmenin daha zor olması anlamında özellikle savunmasızdır.
Araştırmacılar, AMD’ye sorunu çözmesi için daha fazla zaman tanımak amacıyla açığı açıklamadan önce 10 ay beklediler. AMD açığı kabul etti ve etkilenen ürünler için hafifletme seçeneklerinin yayınlanmasına başlandıEPYC veri merkezi ve Ryzen PC işlemcileri dahil. Bazı ürünler için yamalar zaten yayınlandı ve yakında daha fazlasının yayınlanması bekleniyor. Ancak AMD, etkilenen tüm cihazlarda güvenlik açığını nasıl gidereceğini henüz açıklamadı.
Araştırmacılar, bu güvenlik açığının önemli bir risk oluşturduğu konusunda uyarıyor ve kullanıcıların sistemlerini korumak için mevcut düzeltmeleri uygulamada gecikmemesi gerektiğini belirtiyor. Nissim ve Okupski, ‘arka kapıyı’ istismar etmenin zorluğuna rağmen, bu yamaları kullanılabilir hale gelir gelmez uygulamanın önemini vurguluyor. Gelişmiş devlet destekli bilgisayar korsanlarının bu güvenlik açığını istismar etme araçlarına zaten sahip olabileceğini ve sistem güvenliğinin sürdürülmesi için zamanında güncellemelerin çok önemli olduğunu savunuyorlar.