A AMD está alertando sobre uma vulnerabilidade crítica de CPU denominada SinkClose, que afeta várias gerações de seus processadores EPYC, Ryzen e Threadripper.
A vulnerabilidade permite que atacantes com privilégios de nível Kernel (Ring 0) obtenham privilégios de Ring -2 e instalem malware que se torna praticamente indetectável.
Ring -2 é um dos mais altos níveis de privilégio em um computador, operando acima do Ring -1 (usado para hipervisores e virtualização de CPU) e do Ring 0, que é o nível de privilégio usado pelo Kernel do sistema operacional.
O nível de privilégio Ring -2 está associado ao recurso System Management Mode (SMM) dos CPUs modernos.
O SMM lida com a gestão de energia, controle de hardware, segurança e outras operações de baixo nível necessárias para a estabilidade do sistema.
Devido ao seu alto nível de privilégio, o SMM é isolado do sistema operacional para impedir que seja facilmente alvo de atores de ameaças e malware.
Rastreada como CVE-2023-31315 e classificada como de alta gravidade (pontuação CVSS: 7.5), a falha foi descoberta por Enrique Nissim e Krzysztof Okupski da IOActive, que nomearam o ataque de elevação de privilégio de 'Sinkclose'.
Detalhes completos sobre o ataque serão apresentados pelos pesquisadores amanhã em uma palestra na DefCon intitulada "AMD Sinkclose: Universal Ring-2 Privilege Escalation."
Os pesquisadores relatam que o SinkClose permaneceu não detectado por quase 20 anos, impactando uma ampla gama de modelos de chips da AMD.
A falha SinkClose permite que atacantes com acesso de nível Kernel (Ring 0) modifiquem as configurações do System Management Mode (SMM), mesmo quando o SMM Lock está ativado.
Essa falha pode ser usada para desativar recursos de segurança e plantar malware persistente, praticamente indetectável em um dispositivo.
Ring -2 é isolado e invisível para o OS e hipervisor, portanto, quaisquer modificações maliciosas feitas neste nível não podem ser detectadas ou corrigidas por ferramentas de segurança em execução no SO.
Okupski disse à Wired que a única maneira de detectar e remover malware instalado usando SinkClose seria conectar fisicamente aos CPUs usando uma ferramenta chamada programador SPI Flash e analisar a memória em busca de malware.
De acordo com o aviso da AMD, os seguintes modelos são afetados:
- EPYC 1ª, 2ª, 3ª e 4ª gerações
- EPYC Embedded 3000, 7002, 7003 e 9003, R1000, R2000, 5000 e 7000
- Ryzen Embedded V1000, V2000 e V3000
- Séries Ryzen 3000, 5000, 4000, 7000 e 8000
- Séries Mobile Ryzen 3000, 5000, 4000 e 7000
- Séries Ryzen Threadripper 3000 e 7000
- AMD Threadripper PRO (Castle Peak WS SP3, Chagall WS)
- AMD Athlon série 3000 Mobile (Dali, Pollock)
- AMD Instinct MI300A
A AMD afirmou em seu aviso que já lançou mitigações para seus CPUs EPYC e AMD Ryzen de desktop e móveis, com mais correções para CPUs embutidos a serem lançadas posteriormente.
O acesso de nível Kernel é um pré-requisito para realizar o ataque SinkClose.
A AMD destacou isso em uma declaração à Wired, sublinhando a dificuldade de explorar o CVE-2023-31315 em cenários reais.
No entanto, a IOActive respondeu dizendo que vulnerabilidades de nível Kernel, embora não sejam generalizadas, certamente não são incomuns em ataques sofisticados.
Atuantes de Ameaças Persistentes Avançadas (APT), como o grupo norte-coreano Lazarus, têm usado técnicas BYOVD (Bring Your Own Vulnerable Driver) ou mesmo aproveitando falhas zero-day do Windows para escalar seus privilégios e obter acesso de nível Kernel.
Gangues de ransomware também usam táticas BYOVD, empregando ferramentas customizadas de eliminação de EDR que vendem a outros criminosos cibernéticos por lucros extras.
Os especialistas notórios em engenharia social, Scattered Spider, também foram vistos usando BYOVD para desligar produtos de segurança.
Esses ataques são possíveis via várias ferramentas, desde drivers assinados pela Microsoft, drivers de antivírus, drivers de gráficos MSI, drivers OEM com bugs e até ferramentas anti-cheat de jogos que possuem acesso de nível Kernel.
Com tudo isso dito, o SinkClose poderia representar uma ameaça significativa para organizações que usam sistemas baseados em AMD, especialmente por parte de atores de ameaças patrocinados pelo estado e sofisticados, e não deve ser desconsiderado.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...