AMD曝出“超級權限漏洞”,數億設備面臨威脅
責編:gltian |2024-08-14 17:32:06在近日舉行的2024年度Defcon黑客大會上,安全公司IOActive的研究員披露了AMD處理器的一個名為“Sinkclose”的難以修復的嚴重漏洞。該漏洞影響了自2006年以來發布的幾乎所有AMD處理器,數以億計的筆記本、臺式機和服務器面臨威脅。
難以修復的“超級權限漏洞”
此漏洞允許攻擊者將權限從ring 0(操作系統內核)提升到ring-2,在處理器的最高特權模式——系統管理模式(System Management Mode,SMM)下執行惡意代碼,在系統固件中植入惡意軟件。
“Sinkclose”漏洞的嚴重性在于,它允許攻擊者繞過系統管理模式的保護機制,從而在固件層面植入難以檢測和移除的惡意軟件。
IOActive的研究人員警告稱,對于任何裝有易受攻擊的AMD芯片的機器,攻擊者都可以用一種名為“bootkit”的惡意軟件感染計算機,這種惡意軟件可以逃避防病毒工具,通過系統啟動前的UEFI,且對操作系統不可見,甚至在操作系統重新安裝后仍然長期駐留。
“你基本上只能把電腦扔掉”。研究人員說道。
研究人員指出,盡管利用這一漏洞需要攻擊者首先獲得對系統內核級別的訪問權限,但Windows和Linux幾乎每個月都會暴露此類漏洞。
一旦成功,攻擊者就可以完全控制受感染的系統,繞過安全引導等關鍵安全機制,甚至可能導致系統的完整性被破壞。對于許多配置不當的系統,特別是那些未正確啟用平臺安全引導(Platform Secure Boot)功能的設備,漏洞的利用將更加難以檢測和修復。
IOActive的研究人員Krzysztof Okupski指出:“想象一下國家黑客或任何想要在你的系統上駐留的人。即使你把硬盤格式化也無濟于事。它幾乎無法檢測,也幾乎無法修補。只有打開電腦機箱,用一種稱為SPI閃存編程器的硬件編程工具直接物理連接到其內存芯片的某個部分,然后仔細檢查內存,才能刪除惡意軟件。”
AMD對舊型號處理器“見死不救”
AMD已經發布了針對多個最新推出的EPYC數據中心處理器和Ryzen系列處理器的微碼更新補丁(適用處理器清單在文末),以應對此漏洞。AMD近期發布的Ryzen 9000和Ryzen AI 300系列處理器并未包含在更新列表中,不過據信這些型號可能已在工廠解決了該漏洞。
但是,AMD決定不為一些較舊但仍很流行的處理器提供補丁,例如Ryzen 1000、2000和3000系列處理器以及Threadripper 1000和2000系列處理器。AMD對仍在大量使用中的舊型號處理器“見死不救”的決定引發了業界對其安全支持能力的質疑。
對于無法獲得補丁的舊處理器,用戶只能采取標準的安全措施,這意味著這些系統可能面臨更高的潛在威脅。Everest集團的高級分析師Arjun Chauhan表示,AMD決定不為老舊處理器提供補丁可能會損害客戶的信任和品牌忠誠度,特別是當這些處理器在市場上仍有大量用戶時。
Chauhan進一步指出,未修補的漏洞可能會帶來法律和合規性風險,尤其是在歐洲地區,如果這些漏洞導致嚴重的安全事件,AMD可能面臨法律訴訟。此外,這種安全支持的不充分可能導致AMD在市場中的聲譽受損,特別是在其機密計算處理器領域取得重要進展的背景下。
IOActive研究人員Nissim和Okupski表示,他們與AMD已經達成協議,在未來幾個月內不發布任何針對Sinkclose漏洞的概念驗證代碼(PoC),以便用戶有更多時間修復該問題。
研究人員還指出,盡管AMD或其他公司以漏洞難以利用為由試圖淡化Sinkclose的嚴重性,但這不應阻止用戶盡快修補。因為高級黑客在知曉該漏洞后,很可能會順藤摸瓜找出利用方法。
總結:硬件安全需要長期主義
“Sinkclose”漏洞揭示了硬件層面安全問題的復雜性和長期潛在風險。盡管此類漏洞需要較高的技術門檻來利用,但其影響可能是災難性的,特別是對于那些無法及時獲得補丁的系統。AMD需要在未來的安全支持策略中更加透明,并可能需要為受影響的用戶提供額外的解決方案,以緩解潛在的安全和合規風險。
AMD處理器的“超級權限漏洞”再次提醒我們,硬件安全是一個長期且需要高度關注的領域,任何疏忽都可能導致災難性的后果。
參考鏈接:
https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7014.html
https://arstechnica.com/security/2024/08/almost-unfixable-sinkclose-bug-affects-hundreds-of-millions-of-amd-cpus/