SinkClose, la grave vulnerabilità che colpisce le CPU AMD dal 2006 in poi

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/sicure...oi_129723.html

Sinkclose è il nome di una grave vulnerabilità di sicurezza scoperta di recente che colpisce praticamente tutti i processori AMD rilasciati dal 2006 a oggi, o anche prima. Insomma, centinaia di milioni di chip AMD.

Click sul link per visualizzare la notizia.

[giovanni69]

Beh, un po' di sollievo per ... Intel!

[Strato1541]

Singolare che il fatto sia reso noto ora dopo la debacle Intel degli ultimi tempi..
Un tempismo incredibile, quasi sospetto...

[demon77]

Si ok, ma parliamo di una falla che è davvero quasi impossibile da sfruttare.

[blackshard]

Quote:

Originariamente inviato da demon77

Si ok, ma parliamo di una falla che è davvero quasi impossibile da sfruttare.

Eh mica tanto impossibile. Dovrebbe bastare un driver

[coschizza]

Quote:

Originariamente inviato da Strato1541

Singolare che il fatto sia reso noto ora dopo la debacle Intel degli ultimi tempi..
Un tempismo incredibile, quasi sospetto...

Ogni giorno vengono scoperte decine di falle di sicurezza al mondo , nessun sospetto insomma

[coschizza]

Quote:

Originariamente inviato da demon77

Si ok, ma parliamo di una falla che è davvero quasi impossibile da sfruttare.

Veramente è una falla che dalla articolo dicono che può sfruttare chiunque pure tu in questo momento, difatti la numerazione di sicurezza la mette fra quelle gravi

[ulukaii]

Sì, a patto di aver avuto accesso al kernel, quindi sfruttando come veicolo altre vulnerabilità che lo espongono che, come si diceva sopra, possono venire da drivers buggati (come già successo con Lazarus e Blackbyte) oppure modificati ad hoc e firmati (vedasi il caso Microsoft), falle nei sistemi AV o anche in DRM/anti-cheat di giochi, vedasi ad esempio > Hackers abuse Genshin Impact anti-cheat system to disable antivirus

Insomma, di possibilità ce ne sono tante... dai cui appunto il livello di gravità.

[WarSide]

Almeno serve necessariamente il ring 0, quindi gli ambienti virtualizzati non sono intaccati o sarebbe stata l'ecatombe.

La cosa che mi preoccupa di più sono le schede video MI300 che sono vulnerabili. Quelle capita di collegarle ad una VM con pci passthrough.

Tolte quelle, il grosso del problema sono i portatili aziendali che possono magari essere usati come testa di ponte per attacchi interni in azienda.

[fl@sh]

..Invece gli americani, i buoni, entrano direttamente dalla porta d'ingresso principale senza neanche bussare al campanello

[demon77]

Quote:

Originariamente inviato da blackshard

Eh mica tanto impossibile. Dovrebbe bastare un driver

Quote:

Originariamente inviato da coschizza

Veramente è una falla che dalla articolo dicono che può sfruttare chiunque pure tu in questo momento, difatti la numerazione di sicurezza la mette fra quelle gravi

Non sono colto su queste cose quindi non so.. però da quello che ho capito per sfruttare sta falla devi praticamente essere seduto al pc con accesso come admin.

[blackshard]

Quote:

Originariamente inviato da demon77

Non sono colto su queste cose quindi non so.. però da quello che ho capito per sfruttare sta falla devi praticamente essere seduto al pc con accesso come admin.

No la discriminante è puramente tecnica, cioè devi avere un software malevolo che gira con privilegi del kernel (ring 0) che installa il suo affare dentro al SMM; di software che gira con i privilegi del kernel c'è il kernel stesso e i driver.

Data la natura persistente della vulnerabilità, ti potresti "infettare" il computer facendo il boot da una chiavetta con un qualche sistema operativo/software di dubbia provenienza e, a leggere l'articolo, saresti compromesso.

Nell'articolo mancano i dettagli: cosa può fare questo SMM? Quanto è programmabile e quanto spazio di archiviazione ha a disposizione? Esiste della documentazione non riservata? Si può resettare senza fare il giro tramite flasher SPI esterno?

[Sandro kensan]

Quote:

Originariamente inviato da fl@sh

..Invece gli americani, i buoni, entrano direttamente dalla porta d'ingresso principale senza neanche bussare al campanello

Appunto, Gli USA ce l'hanno avuto dalla nascita questa notizia e il proof of concept.

[noppy1]

sulla pagina di AMD ci sono già le mitigazioni, immagino che la notizia sia trapelata perchè i fix sono pronti. Interessante la serie 1000/2000 desktop non è affetta e cosa brutta per chi ha una serie 3000 desktop non sono previsti Fix.

[LMCH]

Quote:

Originariamente inviato da blackshard

Nell'articolo mancano i dettagli: cosa può fare questo SMM? Quanto è programmabile e quanto spazio di archiviazione ha a disposizione? Esiste della documentazione non riservata? Si può resettare senza fare il giro tramite flasher SPI esterno?

SMM può fare di tutto, lo può scavalcare solo l'IME (su cpu Intel) o l'equivalente di IME nei processori AMD.
Nelle vecchie cpu x86 veniva usato anche per controllare la velocità di rotazione della ventola di raffreddamento della cpu (certe volte con codice scritto a caXXo che rendeva impossibile avere prestazioni realtime perchè causava troppo jitter).
Si deve per forza riflashare via programmatore esterno su SPI il chip che contiene il firmware UEFI/BIOS perchè SMM può intercettare l'accesso SPI quando viene eseguito dal core x86.

[sbaffo]

Quote:

Originariamente inviato da LMCH

Si deve per forza riflashare via programmatore esterno su SPI il chip che contiene il firmware UEFI/BIOS perchè SMM può intercettare l'accesso SPI quando viene eseguito dal core x86.

Dall'advisory di AMD che c'è anche nella news ( https://www.amd.com/en/resources/pro...d-sb-7014.html ) ci sono due mitigazioni opzionionali per gli epyc, il flash SPI o il μcode, solo la prima per gli altri proci.
Non so cosa sia questo flash SPI, è semplicemente il flash del bios? quindi si aspetta un aggiornamento bios (prima dell'infezione, non dopo) per mitigare ? Leggendo altrove mi sembra che non sia così semplice, ma anche qui non è chiaro...

[LL1]

AMD won't patch all chips affected by severe data theft vulnerability — Ryzen 3000, 2000, and 1000 will not get patched for 'Sinkclose'

[Nui_Mg]

Quote:

Originariamente inviato da noppy1

e cosa brutta per chi ha una serie 3000 desktop non sono previsti Fix.

Ho letto da alcuni che non intendono nemmeno fixare il problema delle varie disconnessioni che di tanto in tanto accadono sulle porte usb asmedia, è vero o è fake?

[sbaffo]

Quote:

Originariamente inviato da LL1

AMD won't patch all chips affected by severe data theft vulnerability — Ryzen 3000, 2000, and 1000 will not get patched for 'Sinkclose'

Su tom ora è uscita la notizia che li fixano tutti, anche i 3000 (dicono che per i 1000 e 2000 era già noto, boh).