在近日举行的2024年度Defcon黑客大会上,安全公司IOActive的研究员披露了AMD处理器的一个名为“Sinkclose”的难以修复的严重漏洞。该漏洞影响了自2006年以来发布的几乎所有AMD处理器,数以亿计的笔记本、台式机和服务器面临威胁。
难以修复的“超级权限漏洞”
此漏洞允许攻击者将权限从ring 0(操作系统内核)提升到ring-2,在处理器的最高特权模式——系统管理模式(System Management Mode,SMM)下执行恶意代码,在系统固件中植入恶意软件。
“Sinkclose”漏洞的严重性在于,它允许攻击者绕过系统管理模式的保护机制,从而在固件层面植入难以检测和移除的恶意软件。
IOActive的研究人员警告称,对于任何装有易受攻击的AMD芯片的机器,攻击者都可以用一种名为“bootkit”的恶意软件感染计算机,这种恶意软件可以逃避防病毒工具,通过系统启动前的UEFI,且对操作系统不可见,甚至在操作系统重新安装后仍然长期驻留。
“你基本上只能把电脑扔掉”。研究人员说道。
研究人员指出,尽管利用这一漏洞需要攻击者首先获得对系统内核级别的访问权限,但Windows和Linux几乎每个月都会暴露此类漏洞。
一旦成功,攻击者就可以完全控制受感染的系统,绕过安全引导等关键安全机制,甚至可能导致系统的完整性被破坏。对于许多配置不当的系统,特别是那些未正确启用平台安全引导(Platform Secure Boot)功能的设备,漏洞的利用将更加难以检测和修复。
IOActive的研究人员Krzysztof Okupski指出:“想象一下国家黑客或任何想要在你的系统上驻留的人。即使你把硬盘格式化也无济于事。它几乎无法检测,也几乎无法修补。只有打开电脑机箱,用一种称为SPI闪存编程器的硬件编程工具直接物理连接到其内存芯片的某个部分,然后仔细检查内存,才能删除恶意软件。”
AMD对旧型号处理器“见死不救”
AMD已经发布了针对多个最新推出的EPYC数据中心处理器和Ryzen系列处理器的微码更新补丁(适用处理器清单在文末),以应对此漏洞。AMD近期发布的Ryzen 9000和Ryzen AI 300系列处理器并未包含在更新列表中,不过据信这些型号可能已在工厂解决了该漏洞。
但是,AMD决定不为一些较旧但仍很流行的处理器提供补丁,例如Ryzen 1000、2000和3000系列处理器以及Threadripper 1000和2000系列处理器。AMD对仍在大量使用中的旧型号处理器“见死不救”的决定引发了业界对其安全支持能力的质疑。
对于无法获得补丁的旧处理器,用户只能采取标准的安全措施,这意味着这些系统可能面临更高的潜在威胁。Everest集团的高级分析师Arjun Chauhan表示,AMD决定不为老旧处理器提供补丁可能会损害客户的信任和品牌忠诚度,特别是当这些处理器在市场上仍有大量用户时。
Chauhan进一步指出,未修补的漏洞可能会带来法律和合规性风险,尤其是在欧洲地区,如果这些漏洞导致严重的安全事件,AMD可能面临法律诉讼。此外,这种安全支持的不充分可能导致AMD在市场中的声誉受损,特别是在其机密计算处理器领域取得重要进展的背景下。
IOActive研究人员Nissim和Okupski表示,他们与AMD已经达成协议,在未来几个月内不发布任何针对Sinkclose漏洞的概念验证代码(PoC),以便用户有更多时间修复该问题。
研究人员还指出,尽管AMD或其他公司以漏洞难以利用为由试图淡化Sinkclose的严重性,但这不应阻止用户尽快修补。因为高级黑客在知晓该漏洞后,很可能会顺藤摸瓜找出利用方法。
总结:硬件安全需要长期主义
“Sinkclose”漏洞揭示了硬件层面安全问题的复杂性和长期潜在风险。尽管此类漏洞需要较高的技术门槛来利用,但其影响可能是灾难性的,特别是对于那些无法及时获得补丁的系统。AMD需要在未来的安全支持策略中更加透明,并可能需要为受影响的用户提供额外的解决方案,以缓解潜在的安全和合规风险。
AMD处理器的“超级权限漏洞”再次提醒我们,硬件安全是一个长期且需要高度关注的领域,任何疏忽都可能导致灾难性的后果。
参考链接:
https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7014.html
来源:GoUpSec
