IOActive güvenlik uzmanları Enrique Nissim ve Krzysztof Okupski, AMD işlemcilerinde, bilgisayar korsanlarının işlemcinin en ayrıcalıklı modlarından biri olan Sistem Yönetimi Modunda (SMM) kendi kodlarını çalıştırmasına izin verebilecek kritik bir güvenlik açığı keşfettiler.
Sinkclose olarak adlandırılan güvenlik açığı, 2006’dan bu yana veya daha önce piyasaya sürülen hemen hemen her AMD yongasını etkiliyor ve potansiyel olarak dünya çapında milyarlarca cihazı riske atıyor.
Sinkclose, saldırganların kötü amaçlı yazılımı bilgisayarın belleğinin derinliklerine yerleştirmesine olanak tanıyarak onu neredeyse tespit edilemez ve yama yapılmasını neredeyse imkansız hale getirir. En kötü senaryoda, bu tür kötü amaçlı yazılımların kaldırılması, bellek yongalarının bir kısmına fiziksel olarak doğrudan bağlantı kurulmasını gerektirebilir.
Araştırmacılar, AMD’nin Platform Güvenli Önyükleme olarak bilinen güvenlik özelliğinin hatalı yapılandırmasına sahip birçok sistem için, enfeksiyonların tespit edilmesinin veya ortadan kaldırılmasının daha da zor olabileceğini, hatta işletim sisteminin yeniden yüklenmesinden sonra hayatta kalabileceğini söyledi.
Sinkclose’dan yararlanabilmek için bilgisayar korsanlarının zaten bilgisayarın çekirdeğine erişim sahibi olması gerekiyor, ancak bu tür güvenlik açıkları Windows ve Linux’ta neredeyse her ay keşfediliyor. Nissim ve Okupski, Sinkclose’dan yararlanabilecek gelişmiş bilgisayar korsanlarının muhtemelen bu güvenlik açıklarından yararlanacak tekniklere sahip olduğunu savunuyor.
AMD, IOActive’in bulgularını kabul etti ve araştırmacılara çalışmaları için teşekkür etti. Şirket, AMD EPYC veri merkezi ürünleri ve AMD Ryzen PC ürünleri için hafifletme seçeneklerini zaten yayınladı ve AMD yerleşik ürünleri için de azaltma seçeneklerini yakında yayınlamayı planlıyor.
AMD, Sinkclose güvenlik açığını nasıl veya hangi cihazlar için ve ne zaman düzeltmeyi planladığıyla ilgili soruları yanıtlamayı reddetti ancak etkilenen ürünlerin tam listesini web sitesindeki güvenlik bülteni sayfasında bulabileceğinizi belirtti.
AMD, yaptığı basın açıklamasında Sinkhole tekniğini alarmları, korumaları ve kasa kapılarını atlattıktan sonra banka kasalarına erişme yöntemiyle karşılaştırarak Sinkclose’dan yararlanmanın zorluğunu vurguladı. Sinkclose güvenlik açığı ve yararlanma yöntemlerine ilişkin ayrıntılar, Defcon hacker konferansında Nissim ve Okupski tarafından sunulacak.
