Die „Sinkclose“-Schwachstelle in Hunderten Millionen AMD-Chipsätzen ermöglicht tiefgreifende, nahezu irreversible Infektionen

In einer Hintergrunderklärung gegenüber WIRED betonte AMD die Schwierigkeit, Sinkclose auszunutzen: Um diese Schwachstelle auszunutzen, müsste ein Hacker bereits Zugriff auf den Kernel des Computers, den Kern seines Betriebssystems, haben. AMD vergleicht die Sinkhole-Technologie mit der Methode, auf Bankschließfächer zuzugreifen, nachdem Alarme, Wachen und die Tresortür umgangen wurden.

Nisim und Okupski entgegnen, dass die Ausnutzung von Sinkclose Zugriff auf das Gerät auf Kernel-Ebene erfordert, solche Schwachstellen werden jedoch fast jeden Monat in Windows- und Linux-Betriebssystemen aufgedeckt. Sie behaupten, dass hochentwickelte staatlich geförderte Hacker, die Sinkclose ausnutzen könnten, möglicherweise bereits über Techniken verfügen, um diese Schwachstellen auszunutzen, unabhängig davon, ob sie bekannt oder unbekannt sind. „Es gibt mittlerweile Schwachstellen im Kernel all dieser Systeme. Sie existieren und stehen Angreifern zur Verfügung. Das ist der nächste Schritt“, sagt Nissim.

Die Sinkclose-Technologie von Nissim und Okupski nutzt eine mysteriöse Funktion in AMD-Chips namens TClose aus. (Tatsächlich stammt der Name Sinkclose aus der Kombination des Begriffs TClose mit Sinkhole, dem Namen einer früheren Sicherheitslücke im Systemverwaltungsmodus, die 2015 in Intel-Chips entdeckt wurde.) Bei AMD-basierten Geräten verhindert ein als TSeg bekannter Schutz die Betriebssysteme des Computers Schreiben in einen geschützten Teil des Speichers, der dem Systemverwaltungsmodus gewidmet ist und als System Management Random Access Memory oder SMRAM bezeichnet wird. Die TClose-Funktion von AMD soll es PCs jedoch ermöglichen, mit älterer Hardware kompatibel zu bleiben, die dieselben Speicheradressen wie SMRAM verwendet, und bei Aktivierung anderen Speicher diesen SMRAM-Adressen neu zuzuweisen. Nissim und Okupski entdeckten, dass sie mithilfe der TClose-Reset-Funktion nur mithilfe der Berechtigungsstufe des Betriebssystems den SMM-Code dazu verleiten konnten, die von ihnen manipulierten Daten abzurufen, sodass sie den Prozessor umleiten und ihn ihren Code ausführen lassen konnten die gleiche SMM-Ebene mit hohen Privilegien.

„Ich denke, das ist der komplexeste Fehler, den ich je ausgenutzt habe“, sagt Okupski.

Nissim und Okupski, die sich beide auf die Sicherheit von Low-Level-Code wie Prozessortreibern spezialisiert haben, sagten, sie hätten sich vor zwei Jahren zum ersten Mal entschieden, die Architektur von AMD zu untersuchen, einfach weil sie das Gefühl hatten, dass sie im Vergleich zu Intel nicht ausreichend geprüft wurde, obwohl sie auf dem Vormarsch war Marktanteil. Sie sagen, sie hätten den kritischen Zustand, der es Sinkclose ermöglichte, gehackt zu werden, einfach durch das Lesen und erneute Lesen der AMD-Dokumentation entdeckt. „Ich glaube, ich habe die Seite, auf der die Sicherheitslücke war, etwa tausend Mal gelesen. Dann ist es mir ein und zwei Mal aufgefallen“, sagt Nissim. Sie sagen, sie hätten AMD im Oktober letzten Jahres auf den Fehler aufmerksam gemacht, aber fast zehn Monate gewartet, um AMD mehr Zeit für die Vorbereitung einer Behebung zu geben.

Für Benutzer, die sich selbst schützen möchten, sagen Nissim und Okubski, dass sie für Windows-PCs – die wahrscheinlich die überwiegende Mehrheit der betroffenen Systeme ausmachen – erwarten, dass Patches für SyncClose in Updates integriert werden, die PC-Hersteller mit Microsoft teilen und die in Zukunft enthalten sein werden Betriebssystem-Updates. Patches für Server, eingebettete Systeme und Linux-Geräte können detaillierter und manueller sein; Bei Linux-Geräten hängt dies teilweise von der Linux-Distribution ab, die auf dem Computer installiert ist.

Nissim und Okupski sagen, sie hätten mit AMD vereinbart, in den nächsten Monaten keinen Code zum Nachweis der Gültigkeit der Sinkclose-Schwachstelle zu veröffentlichen, um mehr Zeit für die Behebung des Problems zu haben. Sie behaupten jedoch, dass trotz aller Versuche von AMD oder anderen, die Sinkclose-Schwachstelle als schwer auszunutzen herunterzuspielen, dies Benutzer nicht davon abhalten sollte, sie so schnell wie möglich zu beheben. Erfahrene Hacker haben ihre Technik möglicherweise bereits entdeckt – oder sie finden heraus, wie sie sie entdecken können, nachdem Nissim und Okubski ihre Ergebnisse auf der Defcon-Konferenz vorgestellt haben.

IOActive-Forscher weisen darauf hin, dass selbst wenn Sinkclose einen relativ umfassenden Zugriff erfordert, das tiefere Maß an Kontrolle, das es bietet, bedeutet, dass potenzielle Ziele nicht auf die Implementierung einer verfügbaren Lösung warten müssen. „Wenn das Fundament zerstört wird, wird die Sicherheit des gesamten Systems zerstört“, sagt Nissim.

Aktualisiert um 9:00 Uhr ET, 09.08.2024: Nach Veröffentlichung dieses Artikels hat AMD seine Sicherheitsbulletin-Seite aktualisiert und Folgendes hinzugefügt: Chipsliste Beeinflusst von Sinkclose.