SinkClose, la grave vulnerabilità che colpisce le CPU AMD dal 2006 in poi

Si chiama Sinkclose la nuova vulnerabilità di sicurezza che, secondo chi l'ha scoperta, è presente virtualmente nelle CPU AMD rilasciate dal 2006, forse anche prima. È stata identificata dai ricercatori Enrique Nissim e Krzysztof Okupski di IOActive, che la presenteranno domani alla conferenza Defcon in uno speech intitolato "AMD Sinkclose: Universal Ring-2 Privilege Escalation". La vulnerabilità è tracciata come CVE-2023-31315 e giudicata di severità alta (punteggio CVSS: 7.5).

Sinkclose permette a malintenzionati con privilegi a livello kernel (Ring 0) di ottenere privilegi Ring -2 e installare del malware praticamente irrilevabile. Il Ring -2 è uno dei livelli di privilegio più elevati di un PC, si trova al di sopra del Ring -1 (usato per gli hypervisor e la virtualizzazione della CPU) e del Ring 0, che è il livello di privilegio utilizzato dal kernel di un sistema operativo.

Il livello di privilegio Ring -2 è associato alla funzione System Management Mode (SMM) delle CPU. SMM si occupa della gestione dell'alimentazione, il controllo dell'hardware, la sicurezza e altre operazioni di basso livello necessarie per la stabilità del sistema. A causa del suo elevato livello di privilegio, SMM è isolato dal sistema operativo per evitare che venga preso di mira.

Per questo, qualora un malintenzionato riuscisse a ottenere l'accesso al kernel di un sistema (difficile, ma non impossibile), potrebbe eseguire codice all'interno del System Management Mode (SMM) dei processori e installare un bootkit non rilevabile dagli antivirus classici.

Il bootkit, oltre a rimanere quasi invisibile all'interno del sistema, persiste anche in caso di reinstallazione del sistema operativo. In alcuni casi, scrive Wired, potrebbe essere più facile abbandonare un computer infetto che ripararlo. Per rimuovere il bootkit sarebbe necessario aprire il PC, collegarsi a una parte specifica della sua memoria utilizzando un programmatore SPI Flash, ispezionare attentamente la memoria e quindi procedere alla rimozione.

Più in dettaglio, la vulnerabilità sfrutta una funzione ambigua dei chip AMD nota come TClose, che ha lo scopo di mantenere la compatibilità con i dispositivi più vecchi. Manipolando tale funzione, i ricercatori sono riusciti a reindirizzare il processore a eseguire il proprio codice a livello SMM.

"Per sfruttare la vulnerabilità, un hacker deve già avere accesso al kernel di un computer, il nucleo del suo sistema operativo", si legge in una dichiarazione di AMD rilasciata a Wired. AMD afferma che è come accedere alle cassette di sicurezza di una banca dopo aver già superato allarmi, guardie e abbattuto la porta del caveau.

AMD sta patchando le sue piattaforme, anche se non tutti i processori interessati hanno ancora ricevuto l'update. Un advisory può essere trovato qui, ed è interessante notare che tra le tante CPU presenti non sono indicate quelle Ryzen 9000 o i Ryzen AI 300 basati su Zen 5, almeno per ora.

I ricercatori hanno aspettato 10 mesi prima di rivelare la vulnerabilità per dare ad AMD più tempo per risolverla. Inoltre, hanno concordato di non pubblicare alcun codice proof-of-concept per diversi mesi a venire, al fine di fornire più tempo alla società di risolvere il problema.

Sebbene sfruttare Sinkclose richieda l'accesso a livello di kernel, i ricercatori affermano che falle a tale livello vengono scoperte frequentemente nei sistemi Windows e Linux. I due suggeriscono che hacker sostenuti dagli Stati dispongono probabilmente già degli tool per avvantaggiarsi di questo tipo di vulnerabilità - si pensi a gruppi russi o nordcoreani. Per questo gli utenti, aziende in particolare, dovrebbero implementare le correzioni disponibili il prima possibile (tramite l'aggiornamento dei firmware).