Anche il firmware, il codice che permette alle periferiche hardware di funzionare, può presentare delle vulnerabilità: un obiettivo molto ambito dai criminali informatici, che tramite esse possono impossessarsi (quasi) permanentemente dei computer infetti. La vulnerabilità che vi presentiamo oggi appartiene proprio a questa categoria: ecco Sinkclose, un bug presente in quasi tutti i processori targati AMD.
Quasi tutte? Ebbene sì: Sinkclose, la vulnerabilità così battezzata da Enrique Nissim e Krzysztof Okupski, ricercatori presso IOActive, è presente in tutti i processori AMD mai prodotte dal 2006 (e forse anche prima) a oggi. Fortunatamente, abusare questo errore di programmazione è tutt’altro che semplice, dato che richiede di aver già accesso privilegiato a un computer o server dotato di CPU AMD.
Il malware installato tramite Sinkclose è praticamente irrimovibile
La vulnerabilità Sinkclose permette a chiunque di eseguire il proprio codice in una delle modalità più privilegiate di un processore AMD, nota come System Management Mode. Il malware, se installato a questo livello, risulta invisibile al sistema operativo e agli antivirus, dando agli aggressori completo controllo al computer o al server compromesso. Ma non solo: per i sistemi dotati di funzionalità di sicurezza AMD Platform Secure Boot mal configurata, malware installato tramite Sinkclose potrebbe essere ancora più difficile da rilevare o rimuovere, sopravvivendo persino a una reinstallazione del sistema operativo.
Secondo i ricercatori, malware installato a livello del System Management Mode può essere rimosso soltanto collegandosi fisicamente ai chip di memoria del processore che contengono il codice del firmware tramite un programmatore SPI Flash, uno strumento di programmazione hardware, e scandagliando meticolosamente la memoria. Operazione particolarmente complessa, che Nissim riassume con “In pratica, devi buttare via il tuo computer“.
Naviga in sicurezza con Nord VPN – Ottieni da questo link fino al 72% di Sconto
Nissim e Okupski hanno dichiarato di aver deciso di investigare l’architettura AMD perché ritenevano che non avesse ricevuto abbastanza attenzione rispetto a Intel, nonostante la sua quota di mercato in crescita. I ricercatori hanno avvisato AMD del difetto nell’ottobre dello scorso anno, ma hanno aspettato quasi 10 mesi per dare più tempo all’azienda per correggere la vulnerabilità.
I dettagli tecnici
Passiamo alla parte più tecnica. La vulnerabilità Sinkclose scoperta da Nissim e Okupski è resa possibile abusando di una caratteristica oscura dei chip AMD nota come TClose. Nei computer basati su tecnologia AMD, una salvaguardia nota come TSeg impedisce ai sistemi operativi del computer di scrivere in una parte protetta della memoria riservata per il System Management Mode, nota come System Management Random Access Memory o SMRAM.
Tuttavia, in nome della retrocompatibilità, la funzione TClose di AMD permette ai computer di rimanere compatibili con dispositivi più vecchi che utilizzano gli stessi indirizzi di memoria di SMRAM, rimappando altra memoria a quegli indirizzi SMRAM quando è abilitata.
I ricercatori hanno scoperto che, anche solo disponendo del livello di privilegio del sistema operativo (già difficile da ottenere), si può utilizzare la funzionalità di rimappatura di TClose per ingannare il System Management Mode e far sì che esso recuperi dati compromessi, ad esempio malware. Il System Management Mode procede quindi a reindirizzare quel codice al processore, che lo esegue con lo stesso livello di privilegio garantito al System Management Mode.
Sfruttare Sinkclose è difficile, ma non impossibile
Data la gravità del problema, AMD sta correndo ai ripari. In una dichiarazione rilasciata alla testata WIRED, AMD ha riconosciuto le scoperte dei ricercatori di IOActive, li ha ringraziati per il loro lavoro, e ha dichiarato di aver “rilasciato opzioni di mitigazione per i suoi prodotti datacenter AMD EPYC e per i prodotti PC AMD Ryzen, con mitigazioni per i prodotti embedded AMD in arrivo a breve“. In particolare, per i processori EPYC progettati per l’uso nei data center, l’azienda ha notato di aver rilasciato patch all’inizio di quest’anno. Inoltre, AMD ha rilasciato una lista dei prodotti affetti da Sinkclose, disponibile sulla pagina del bollettino di sicurezza del suo sito web.
AMD sottolinea ancora una volta la difficoltà nello sfruttare questa vulnerabilità, che richiede accesso privilegiato al sistema operativo (nello specifico del suo kernel, ciò che permette al sistema operativo di comunicare con l’hardware). I ricercatori, tuttavia, hanno tenuto a precisare che le vulnerabilità che permettono di accedere al kernel dei sistemi operativi sono molte, e non sempre vengono prontamente corrette tramite l’applicazione di patch. “Attualmente, esistono exploit per il kernel per tutti questi sistemi,” ha dichiarato Nissim. “Esistono e sono disponibili per gli attaccanti. Questo [Sinkclose] è il passo successivo“.
Per saperne di più vi invitiamo a leggere l’articolo di WIRED relativo a Sinkclose.