AMD SinkClose 漏洞可安装几乎无法检测到的恶意软件

AMD 警告称,一个被命名为 SinkClose 的高严重性 CPU 漏洞会影响其多代 EPYC、Ryzen 和 Threadripper 处理器。该漏洞允许具有内核级 (Ring 0) 权限的攻击者获得 Ring -2 权限并安装几乎无法检测到的恶意软件。

Ring -2 是计算机上最高权限级别之一,运行于 Ring -1(用于虚拟机管理程序和 CPU 虚拟化)和 Ring 0 之上,后者是操作系统内核使用的权限级别。

Ring -2 特权级别与现代 CPU 的系统管理模式 (SMM) 功能相关。SMM 处理电源管理、硬件控制、安全性以及系统稳定性所需的其他低级操作。

由于其高权限级别,SMM 与操作系统隔离,以防止其轻易成为威胁行为者和恶意软件的攻击目标。

SinkClose CPU 缺陷

该漏洞编号为 CVE-2023-31315,严重性评级为高(CVSS 评分:7.5),由 IOActive Enrique Nissim 和 Krzysztof Okupski 发现,他们将权限提升攻击命名为“Sinkclose”。

研究人员将在 DefCon 演讲中介绍有关此次攻击的全部细节,演讲主题为“ AMD Sinkclose:通用 Ring-2 权限提升”。

研究人员报告称,Sinkclose 近 20 年来一直未被发现,影响了多种 AMD 芯片型号。

SinkClose 漏洞允许具有内核级访问权限 (Ring 0) 的攻击者修改系统管理模式 (SMM) 设置,即使启用了 SMM Lock 也是如此。此漏洞可用于关闭安全功能并在设备上植入持久的、几乎无法检测到的恶意软件。

Ring -2 对于操作系统和虚拟机管理程序来说是隔离且不可见的,因此在此级别进行的任何恶意修改都无法被操作系统上运行的安全工具捕获或修复。

Okupski告诉 Wired,检测和删除使用 SinkClose 安装的恶意软件的唯一方法是使用一种名为 SPI Flash 编程器的工具物理连接到 CPU,然后扫描内存中是否存在恶意软件。

根据 AMD 的建议,以下型号受到影响:

  • EPYC 第 1 代、第 2 代、第 3 代和第 4 代
  • EPYC Embedded 3000、7002、7003 和 9003、R1000、R2000、5000 和 7000
  • Ryzen Embedded V1000、V2000 和 V3000
  • Ryzen 3000、5000、4000、7000 和 8000 系列
  • Ryzen 3000 移动版、5000 移动版、4000 移动版和 7000 移动版系列
  • Ryzen Threadripper 3000 和 7000 系列
  • AMD Threadripper PRO(Castle Peak WS SP3、Chagall WS)
  • AMD Athlon 3000 系列移动版(Dali、Pollock)
  • AMD Instinct MI300A

AMD在其公告中表示,它已经针对其 EPYC 和 AMD Ryzen 台式机和移动 CPU 发布了缓解措施,并将在稍后发布针对嵌入式 CPU 的进一步修复措施。

实际影响和反应

内核级访问是实施 Sinkclose 攻击的先决条件。AMD 在给 Wired 的声明中指出了这一点,并强调了在现实场景中利用 CVE-2023-31315 的难度。

然而,IOActive 回应称,内核级漏洞虽然并不普遍,但在复杂的攻击中肯定并不少见,根据先前攻击情况实例来看,确实如此。

高级持续性威胁 (APT) 参与者,例如朝鲜的 Lazarus 组织,一直在使用BYOVD(自带易受攻击的驱动程序)技术,甚至利用Windows 零日漏洞来提升其权限并获得内核级访问权限。

勒索软件团伙还使用 BYOVD 策略,采用定制的 EDR 杀伤工具出售给其他网络犯罪分子以获取额外利润。

臭名昭著的社会工程专家Scattered Spider也被发现利用 BYOVD 来关闭安全产品。

这些攻击可以通过各种工具实现,包括Microsoft 签名的驱动程序、防病毒驱动程序、 MSI 图形驱动程序、有漏洞的 OEM 驱动程序,甚至是享有内核级访问权限的游戏反作弊工具。

尽管如此,Sinkclose 可能对使用基于 AMD 系统的组织构成重大威胁,尤其是来自国家支持的和老练的专业黑客组织的威胁,不容忽视。


转自军哥网络安全读报

© 版权声明
THE END
你的支持是我们在网空安全路上的驱动力!
点赞14 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码

    暂无评论内容