La vulnerabilità Sinkclose è grave e riguarda quasi tutti i processori AMD: come mitigarla
La società di ricerca sulla sicurezza informatica IOActive ha rivelato i dettagli di una nuova vulnerabilità che colpisce i processori AMD. La vulnerabilità, denominata Sinkclose e classificata come CVE-2023-31315, riguarda il System Management Mode (SMM), una modalità operativa ad alto privilegio nei processori x86 non visibile al sistema operativo e agli hypervisor utilizzata per le funzioni di gestione del sistema a basso livello.
Si tratta di una delle modalità di esecuzione più potenti, in grado di fornire pieno accesso alla memoria del sistema e dei dispositivi di I/O e da qui si capisce la gravità di Sinkclose, che di fatto può consentire a un aggressore di ottenere un accesso profondo a un sistema mirato, violare l’avvio sicuro e, in alcuni casi, persino implementare impianti di firmware.
Lo sfruttamento di questa vulnerabilità, se da un lato richiede una conoscenza approfondita dell’architettura interessata, dall’altro non richiede l’accesso fisico al sistema e, cosa ancor più preoccupante, Sinckclose riguarda la maggior parte delle CPU AMD compresi i processori delle serie Ryzen ed Epyc, il che significa che centinaia di milioni di dispositivi potrebbero essere esposti ad attacchi malevoli.
In risposta alla ricerca di IOActive, AMD ha pubblicato un avviso di sicurezza con le mitigazioni per gli attacchi Sinkclose e ha iniziato a rilasciare aggiornamenti del firmware, sebbene alcune CPU più vecchie non riceveranno queste patch.
“Una convalida impropria in un registro specifico del modello (MSR) potrebbe consentire a un programma malintenzionato con accesso a ring0 di modificare la configurazione SMM mentre il blocco SMI è abilitato, portando potenzialmente all’esecuzione di codice arbitrario”, ha scritto AMD. “Anche se il problema riguarda solo i sistemi gravemente violati, AMD dà la priorità alla sicurezza. Riteniamo che le nostre mitigazioni disponibili oggi per i processori EPYC e RYZEN siano una risposta adeguata alla minaccia”.
Quando afferma che il problema ha un impatto solo sui “sistemi gravemente violati”, AMD si riferisce al fatto che un aggressore deve sfruttare altre vulnerabilità per sconfiggere le misure di sicurezza del sistema operativo e ottenere i privilegi del kernel prima di sfruttare Sinkclose.