Sommige AMD-processors die dateren uit 2006 hebben een beveiligingslek dat een zegen is voor bijzonder sluwe malware en kwaadwillende insiders, hoewel de chipontwerper alleen modellen patcht die na 2020 zijn gemaakt.

De fout werd ontdekt door de mensen van infosec services outfit IOActive en gevolgd als CVE-2023-31315, ook bekend als SinkClose. Het is beoordeeld met 7,5 uit 10 in termen van CVSS-ernst, wat het eerder belangrijk dan kritisch maakt.

Voor processoren waarvoor een oplossing beschikbaar is, wordt dit geleverd in de vorm van een firmware-update via BIOS-makers of een hot-loadable microcode-update.

De bug laat kwaadaardige software en malafide gebruikers met toegang tot de kernel van het besturingssysteem code uitvoeren in System Management Mode (SMM), een zeer bevoorrechte uitvoeringsomgeving die aanwezig is in x86-processors van Intel en AMD. SinkClose is uniek voor AMD.

SMM bevindt zich onder de kernel en hypervisor, evenals applicaties, in die zin dat de managementmodus onbeperkte toegang tot en controle over de machine heeft. De software die erboven draait, inclusief de kernel, kan zich niet bemoeien met SMM. Als je willekeurige code-uitvoering in SMM kunt krijgen, kun je het hele systeem ondermijnen en alle kwaadaardige dingen doen die je wilt, buiten het zicht van het besturingssysteem en de beveiligingstools.

De managementmodus (niet te verwarren met Intel’s Management Engine, wat een heel ander verhaal is) is zo ontworpen dat het grotendeels onzichtbaar is voor de rest van het systeem; het is er om het BIOS (UEFI) aan te vullen, achtergrondtaken uit te voeren, de stroomvoorziening en koeling van het systeem te regelen en andere dingen die specifiek zijn voor de hardware en chipset van dat moederbord. De kernel kan vragen om SMM aan te roepen, maar heeft er over het algemeen geen controle over en ook geen zicht op. De code die in SMM wordt uitgevoerd, wordt door het BIOS geleverd tijdens het opstarten, voordat het besturingssysteem wordt uitgevoerd.

Als malware of een malafide gebruiker met privileges bijvoorbeeld SMM kan binnendringen, bijvoorbeeld door Sinkclose op AMD-machines te misbruiken, kunnen ze de computer daadwerkelijk overnemen, bespioneren, gegevens stelen en ermee knoeien. Ze kunnen de computer op een hardnekkige manier op BIOS-niveau infecteren, waardoor deze moeilijk te detecteren en op te ruimen is.

Maar om SMM te exploiteren, moet je in de kernelmodus zijn – je moet sowieso de controle over de machine hebben overgenomen. Dat maakt de kwetsbaarheid een stuk minder kritisch, hoewel het door een slimme tegenstander kan worden gebruikt om je maand echt te verpesten.

Bepaalde speciale CPU-registers definiëren de werking van SMM, en zodra deze door het BIOS zijn ingesteld, worden ze meestal vergrendeld tot de volgende herstart (wanneer het BIOS ze opnieuw instelt), zodat geen enkele andere software ze kan wijzigen. IOActive heeft een manier gevonden om die vergrendeling te omzeilen, zodat de werking van de SMM onder controle van een aanvaller kan worden gebracht.

Sinkclose zou betrekking hebben op AMD-CPU’s van bijna 20 jaar oud.

In het advies van de chipontwerper over Sinkclose worden alleen CPU’s genoemd die sinds 2017 zijn uitgebracht, en dan nog niet allemaal.

De lijst met CPU’s die het gebrek hebben en waarvoor oplossingen of oplossingen beschikbaar zijn gesteld, omvat Epyc-processors van generatie één tot en met vier, waaronder Napels, Milaan, Rome, Genua, Bergamo en Siena.

Op de desktop worden alleen enkele Ryzen 3000-serieproducten gerepareerd, samen met veel SKU’s uit de 4000-, 5000-, 7000- en 8000-reeksen.

Sommige Ryzen 1000 en 2000 embedded CPU’s desktop zullen worden gerepareerd. Maar desktopmodellen in de Ryzen-reeks krijgen geen patches. Het register begrijpt dat AMD de modellen die het niet zal patchen, beschouwt als modellen waarvan de ondersteuning is beëindigd.

Als je je afvraagt ​​of dit betekent dat de Zen en Zen+ desktop-CPU’s van AMD niet worden gepatcht, dan zou het feit dat de chipmaker zegt dat er “geen oplossing gepland” is voor de kwetsbare Zen 2-gebaseerde Ryzen 3000 desktop-CPU’s met de codenaam “Matisse” alle twijfels moeten wegnemen.

Eerder dit jaar heeft AMD CVE-2023-20577 gepatcht op Ryzen 3000 desktop-CPU’s. AMD’s besluit om Sinkclose niet te patchen op precies dezelfde processoren, kan het einde betekenen van beveiligingsupdates voor deze processoren.

Het register heeft AMD gevraagd om te verduidelijken of Ryzen 1000 en 2000 desktop-CPU’s kwetsbaar zijn, en waarom het heeft besloten om Ryzen 3000 (en mogelijk oudere) chips niet te patchen. ®