E-Mail: [email protected]
- La vulnerabilità SinkClose permette l'ottenimento di privilegi Ring -2 sui processori AMD rilasciati dal 2006.
- Il punteggio di severità CVSS è 7.5, indicando un rischio elevato per i sistemi affetti.
- AMD sta rilasciando patch di sicurezza, ma non tutti i processori interessati, come i Ryzen 9000, sono ancora coperti.
SinkClose è il nome di una nuova e grave vulnerabilità di sicurezza che affligge le CPU AMD rilasciate dal 2006 in poi. Identificata dai ricercatori Enrique Nissim e Krzysztof Okupski di IOActive, questa falla sarà presentata domani alla conferenza Defcon in uno speech intitolato “AMD SinkClose: Universal Ring-2 Privilege Escalation”. La vulnerabilità è tracciata come CVE-2023-31315 e ha ottenuto un punteggio di severità alta (CVSS: 7.5).
Questa vulnerabilità permette a malintenzionati con privilegi a livello kernel (Ring 0) di ottenere privilegi Ring -2 e installare malware praticamente irrilevabile. Il Ring -2 è uno dei livelli di privilegio più elevati di un PC, situato al di sopra del Ring -1 (usato per gli hypervisor e la virtualizzazione della CPU) e del Ring 0, che è il livello di privilegio utilizzato dal kernel di un sistema operativo. Il livello di privilegio Ring -2 è associato alla funzione System Management Mode (SMM) delle CPU, che si occupa della gestione dell’alimentazione, il controllo dell’hardware, la sicurezza e altre operazioni di basso livello necessarie per la stabilità del sistema.
Implicazioni della vulnerabilità SinkClose
A causa del suo elevato livello di privilegio, SMM è isolato dal sistema operativo per evitare che venga preso di mira. Tuttavia, qualora un malintenzionato riuscisse a ottenere l’accesso al kernel di un sistema, potrebbe eseguire codice all’interno del System Management Mode (SMM) dei processori e installare un bootkit non rilevabile dagli antivirus classici. Il bootkit, oltre a rimanere quasi invisibile all’interno del sistema, persiste anche in caso di reinstallazione del sistema operativo. In alcuni casi, potrebbe essere più facile abbandonare un computer infetto che ripararlo.
Per rimuovere il bootkit sarebbe necessario aprire il PC, collegarsi a una parte specifica della sua memoria utilizzando un programmatore SPI Flash, ispezionare attentamente la memoria e quindi procedere alla rimozione. Più in dettaglio, la vulnerabilità sfrutta una funzione ambigua dei chip AMD nota come TClose, che ha lo scopo di mantenere la compatibilità con i dispositivi più vecchi. Manipolando tale funzione, i ricercatori sono riusciti a reindirizzare il processore a eseguire il proprio codice a livello SMM.
- 🔍 Una scoperta impressionante da parte dei ricercatori......
- ⚠️ Questa vulnerabilità è una catastrofe in attesa di accadere......
- 🤔 È davvero curioso come una falla così vecchia sia emersa solo ora......
Reazioni e misure di mitigazione
“Per sfruttare la vulnerabilità, un hacker deve già avere accesso al kernel di un computer, il nucleo del suo sistema operativo”, si legge in una dichiarazione di AMD. L’azienda afferma che è come accedere alle cassette di sicurezza di una banca dopo aver già superato allarmi, guardie e abbattuto la porta del caveau. AMD sta patchando le sue piattaforme, anche se non tutti i processori interessati hanno ancora ricevuto l’update. Un advisory può essere trovato sul sito di AMD, ed è interessante notare che tra le tante CPU presenti non sono indicate quelle Ryzen 9000 o i Ryzen AI 300 basati su Zen 5, almeno per ora.
I ricercatori hanno aspettato 10 mesi prima di rivelare la vulnerabilità per dare ad AMD più tempo per risolverla. Inoltre, hanno concordato di non pubblicare alcun codice proof-of-concept per diversi mesi a venire, al fine di fornire più tempo alla società di risolvere il problema. Sebbene sfruttare SinkClose richieda l’accesso a livello di kernel, i ricercatori affermano che falle a tale livello vengono scoperte frequentemente nei sistemi Windows e Linux. I due suggeriscono che hacker sostenuti dagli Stati dispongono probabilmente già degli tool per avvantaggiarsi di questo tipo di vulnerabilità – si pensi a gruppi russi o nordcoreani.
Impatto e raccomandazioni
La vulnerabilità, identificata come CVE-2023-31315, è stata scoperta dai ricercatori Enrique Nissim e Krzysztof Okupski di IOActive, i quali presenteranno i dettagli dell’attacco in una conferenza DefCon. Secondo i ricercatori, SinkClose è rimasta inosservata per quasi 20 anni, compromettendo potenzialmente una vasta gamma di chip AMD. In risposta a questa minaccia, AMD ha già rilasciato aggiornamenti di sicurezza per mitigare l’impatto della vulnerabilità sui processori EPYC e Ryzen, con ulteriori correzioni in arrivo per i modelli embedded. Nonostante ciò, il rischio di attacchi rimane elevato, soprattutto per le organizzazioni che utilizzano sistemi basati su processori AMD, che potrebbero diventare bersaglio di attacchi da parte di gruppi di cybercriminali sponsorizzati da stati.
La difficoltà nel rilevare e rimuovere il malware installato attraverso SinkClose rende questa vulnerabilità particolarmente insidiosa. L’unico metodo efficace per contrastare l’attacco è connettersi fisicamente alla CPU e scansionare la memoria con strumenti specializzati, come un programmatore SPI Flash. Questo evidenzia la necessità urgente di rafforzare le misure di sicurezza per proteggere le infrastrutture critiche basate su tecnologie AMD.
Bullet Executive Summary
La scoperta della vulnerabilità SinkClose mette in luce una delle problematiche più insidiose nel campo della sicurezza informatica: le falle a livello di firmware. Queste vulnerabilità, spesso invisibili e persistenti, rappresentano una minaccia significativa per la sicurezza dei sistemi moderni. La capacità di un attaccante di ottenere privilegi Ring -2 e installare malware quasi irrilevabile sottolinea l’importanza di una protezione robusta e aggiornata.
Notazione base di tecnologia correlata: Il System Management Mode (SMM) è una modalità operativa speciale dei processori x86 che gestisce operazioni critiche come il controllo dell’hardware e la sicurezza. È isolato dal sistema operativo per prevenire attacchi, ma vulnerabilità come SinkClose possono compromettere questa protezione.
Nozione di tecnologia avanzata: La manipolazione dei privilegi a livello di kernel (Ring 0) per ottenere accesso a livelli superiori come il Ring -2 è un esempio di escalation dei privilegi. Questo tipo di attacco sfrutta le vulnerabilità del sistema operativo o del firmware per ottenere un controllo più profondo e persistente sul sistema.
In conclusione, la scoperta di SinkClose ci ricorda quanto sia cruciale mantenere aggiornati i nostri sistemi e implementare misure di sicurezza avanzate. La protezione delle infrastrutture critiche richiede un approccio proattivo e una costante vigilanza, poiché le minacce informatiche evolvono continuamente. La sicurezza informatica non è mai statica, e ogni nuova vulnerabilità scoperta ci offre l’opportunità di rafforzare le nostre difese e proteggere meglio i nostri dati e sistemi.