گروهی از محققان امنیتی مؤسسهی IOActive، آسیبپذیری تازه و خطرناکی را در پردازندههای دسکتاپی، لپتاپی و دیتاسنتر AMD کشف کردهاند که بهطور مستقیم در هستهی سیستم نفوذ میکند و میتواند به سرقت اطلاعات و مشکلات دیگر منجر شود.
Sinkclose نام آسیبپذیری امنیتی مهمی محسوب میشود که بهتازگی کشف شده است و تقریباً همهی پردازندههای AMD را که از سال ۲۰۰۶ به بعد عرضه شدهاند، تحتتأثیر قرار میدهد. این شکاف امنیتی دست مهاجمان را برای نفوذ عمیق در سیستمها باز میکند و شناسایی یا حذف بدافزارها را دشوار میسازد.
گفته میشود بحران آسیبپذیری Sinkclose بهحدی جدی است که رهاکردن دستگاه آلودهشده در برخی موارد بصرفهتر از تعمیر آن خواهد بود؛ با این حال، از آنجا که آسیبپذیری مذکور از ۱۸ سال پیش تاکنون کشف نشده بود، احتمالاً هنوز مورد بهرهبرداری گسترده قرار نگرفته است.
آسیبپذیری Sinkclose از آنتیویروسها فرار میکند و حتی پس از بازنصب سیستمعامل به فعالیت خود ادامه میدهد. این آسیبپذیری به هکرها اجازه میدهد تا کدهای مخرب را در حالت مدیریت سیستم (SMM) که معمولاً به عملیات حیاتی فرمور اختصاص دارد، روی پردازنده AMD اجرا و به کرنل آن دسترسی پیدا کنند.
پس از دسترسی به هستهی سیستم، آسیبپذیری Sinkclose امکان نصب بدافزار Bootkit را فراهم میکند. این نوع بدافزار میتواند در مرحلهی بوت سیستم (قبل از بارگذاری سیستمعامل) یا حتی قبل از اجرای بایوس یا UEFI عمل کند. بدافزار بوتکیت به مهاجم این امکان را میدهد که احاطهی کاملی بر سیستم قربانی داشته باشد، به اطلاعات حساس دسترسی پیدا کند و از دید آنتیویروسها پنهان بماند.
آسیبپذیری مذکور از ویژگی مبهمی در تراشههای AMD به نام TClose سوءاستفاده میکند که برای حفظ سازگاری با دستگاههای قدیمی طراحی شده است. با دستکاری ویژگی مذکور، محققان امنیتی توانستند پردازنده را به اجرای کد مورد نظر خود در سطح مدیریت سیستم هدایت کنند. این روش پیچیده است، اما کنترل عمیق و پایداری به هکرها ارائه میدهد.
محققان امنیتی معتقدند که هرچند بهرهبرداری از آسیبپذیری Sinkclose به دسترسی کرنل سیستم نیاز دارد، اما آسیبپذیریهایی در این سطح بهطور مکرر در سیستمهای ویندوزی و لینوکس کشف میشوند. پیش از این، آسیبپذیری مشابهی درمورد مدلهای مختلف پردازنده اینتل کشف شد که فرمور UEFI برخی از مادربردها را دچار باگ امنیتی مهمی میکرد.
برای پاککردن بدافزار از کامپیوتر آلوده، لازم است که از طریق پروگرامر SPI Flash با بخش خاصی از حافظهی آن ارتباط برقرار شود و سپس بدافزار از روی حافظه حذف گردد.
آسیبپذیری Sinkclose بر صدها میلیون کامپیوتر شخصی و سرور مبتنیبر پردازندههای AMD تأثیر میگذارد. پردازندههای سری Zen که ویژگی Secure Boot بهدرستی توسط سازندگان کامپیوتر یا تولیدکنندگان مادربرد در آنها پیاده نشده است، در معرض خطر بیشتری قرار دارند، زیرا تشخیص بدافزار در این حالت دشوارتر خواهد شد.
AMD آسیبپذیری مورد بحث را تأیید و راهکارهایی برای محصولات تحتتأثیر، از جمله پردازندههای دیتاسنتر EPYC و سری رایزن پیشنهاد کرده است. تاکنون بهروزرسانیهایی برای برخی پردازندهها منتشر شدهاند و انتظار میرود بهزودی پچهای امنیتی بیشتری ارائه شوند.