חוקרים חשפו פגיעות במעבדי AMD, שלא התגלתה במשך 18 שנה
הנוזקה Sinkclose מאפשרת להאקרים להריץ קוד ב-"מצב ניהול מערכת" מבלי שהם יתגלו ● היא קיימת במעבדים של AMD, שרתים כמו גם צרכניים ומשובצים
צמד חוקרים מ-IOActive חשפו פגיעות במעבדים של AMD, שרתים כמו גם צרכניים ומשובצים, שקיימת בכל מעבדי החברה מאז 2006 ואולי עוד לפני כן. כלומר: היא קיימת כבר 18 שנה לפחות, ונחשפה רק באחרונה. החוקרים העניקו לפגיעות הזו את השם Sinkclose, ובמהות מדובר בתקלה שאם ההאקרים מצליחים לאתר אותה, הם יכולים להריץ קוד באחד המצבים בעלי עדיפות האבטחה וההגנה החזקים ביותר של מעבד AMD, המכונה "מצב ניהול מערכת". זהו מצב פעולה ספציפי בקושחה של המעבד.
החוקרים, אנריקה נסים וקרישטוף אוקופסקי, סיפרו שכדי לנצל את הפגיעות הזו, להאקרים צריכה להיות גישה עמוקה למערכת. אולם, לאחר שמגלים אותה, Sinkclose מאפשרת הטמנה עמוקה עוד יותר של קוד זדוני, כולל של קוד Bootkit, שיודע להתחמק מזיהוי של תוכנות הגנה, ולמעשה יכול להיות שקוף לחלוטין מבחינת מערכת ההפעלה. כלומר: ההאקר יכול לקבל גישה מלאה, לכל המערכת – והיא לא תגלה זאת.
"דמיינו האקרים של מדינה או של גוף פשיעה שרוצה לשהות בהתמדה במערכת שלכם, כאשר גם אם תמחקו לחלוטין את הכונן, הוא עדיין יהיה שם. הקוד הזדוני כמעט בלתי ניתן לזיהוי וכמעט בלתי ניתן לתיקון. זה מאוד קשה לנקות ויש צורך במאמצים וכלים מיוחדים וניקוי קפדני של הזיכרון כדי להסיר את התוכנה הזדונית", אמר אוקופסקי, וחברו הוסיף כי "במקרים לא מעטים יהיה יותר פרקטי לזרוק לפח את כל המחשב ולהחליף אותו".
AMD קיבלה את המידע על החשיפה ואישרה את דבר קיומה. החברה סיפרה כי היא שחררה כלי תיקון עבור מעבדי ה-EPYC לשרתים ומעבדי ה-Ryzen למחשבים אישיים, ובהמשך תוציא תיקון גם עבור מעבדים במערכות משובצות. היא הוסיפה שכדי שניתן יהיה לנצל את הפגיעות הזו חייבים קודם כל גישה לקרנל, וזה בעצמו דבר קשה להשגה.
החוקרים טענו מנגד שיש כלים שמאפשרים הגעה לקרנל, כך שלא נדרשים מההאקרים מאמצים מיוחדים ומשאבים ענקיים כדי להשיג זאת.
תגובות
(0)