安全研究人员发现 AMD 处理器中存在严重漏洞,黑客可以利用该漏洞安装几乎无法检测到的恶意软件。
这个叫做“SinkClose”新缺陷影响多代 AMD 芯片,这可能会影响全球数百万台设备。该漏洞的正式编号为 CVE-2023-31315,由 IOActive Institute 的研究人员 Enrique Nissim 和 Krzysztof Okupski 发现。这个缺陷特别令人担忧的是它的寿命:它在近 20 年内都没有引起人们的注意,甚至影响了 2006 年以来的 AMD 处理器。
从本质上讲,SinkClose 利用了 AMD 芯片系统管理模式 (SMM) 的弱点。 SMM 是处理器的一个高度特权区域,通常保留用于关键固件操作,例如电源管理、热控制和硬件初始化。通过操纵一个名为 TClose 的函数,攻击者可以绕过安全措施并在 SMM 级别执行自己的代码,这使他们几乎可以完全控制系统。
另请阅读–此缺陷使 Windows 回到过去,使您的 PC 非常容易受到攻击
由于 SinkClose,您的计算机完全暴露在黑客面前
此漏洞的影响可能很严重。通过 SinkClose 安装的恶意软件非常难以检测和删除。在最坏的情况下,他们可能需要更换整个系统。更令人担忧的是,如果受感染的处理器转移到新系统,恶意软件就会传播,可能会导致一系列受感染的设备。
AMD 已承认该问题,并为其指定了高严重级别,CVSS 评分为 7.5。与往常一样,该公司已经发布了补丁其 EPYC(霄龙)数据中心产品和最新的 PC 锐龙芯片,以及针对嵌入式系统的其他缓解措施正在进行中。然而,一些较旧的产品线,包括 Ryzen 1000、2000 和 3000 系列,以及 Threadripper 1000 和 2000,将不会收到更新,因为它们不在 AMD 的软件支持范围内。如果您的电脑配备了这些处理器之一,它很可能成为黑客的目标。
SinkClose 是一个被积极利用的漏洞吗?
需要注意的是,操作 SinkClose 并不是一件容易的事。攻击者必须首先获得系统的内核级(Ring 0)访问权限,然后才能利用此漏洞将权限升级到 Ring -2。AMD 将此比作绕过警报、警卫和金库门后进入银行金库。
然而,安全专家警告不要低估威胁。内核级漏洞虽然并不常见,但在复杂的攻击中并不罕见。众所周知,高级持续威胁 (APT) 组织和勒索软件团伙会使用各种技术来获取此类访问权限,包括利用易受攻击的驱动程序或 Windows 零日漏洞。
成功的 SinkClose 攻击的后果可能是灾难性的。一旦恶意软件安装到这个级别,传统安全工具几乎看不到它。安全研究员 Krzysztof Okupski 告诉《连线》杂志,检测和删除该恶意软件的唯一方法是使用名为 SPI Flash 编程器的专用工具物理连接到 CPU,并手动扫描。
对于用户来说,由于任务的复杂性,直接风险可能较低。然而,数据盗窃、系统接管甚至间谍活动的可能性使得该漏洞这是政府、大型组织和处理敏感信息的人员的重大担忧。
为了防止 SinkClose,用户应立即安装 AMD 及其系统制造商提供的补丁。必须仅从官方来源获取这些更新,以避免任何安全风险。
