Beveiligingsfouten in de firmware van uw computer, de diep ingebedde code die als eerste wordt geladen wanneer u de machine aanzet en zelfs bepaalt hoe het besturingssysteem opstart, zijn lange tijd het doelwit geweest van hackers die op zoek waren naar een verborgen bolwerk. Maar slechts zelden komt een dergelijke kwetsbaarheid voor, niet in de firmware van een bepaalde computerfabrikant, maar in de chips die in honderden miljoenen computers en servers worden aangetroffen. Nu hebben beveiligingsonderzoekers een dergelijke fout gevonden, die al tientallen jaren aanwezig is in AMD-processors, waardoor malware zich diep genoeg in het geheugen van een computer kan nestelen, zodat het in veel gevallen gemakkelijker is om de machine te dumpen dan te desinfecteren.
Op de hackconferentie van Defcon zijn Enrique Nissim en Krzysztof Okupski, onderzoekers van beveiligingsbedrijf IOActive, van plan een kwetsbaarheid te presenteren in AMD-chips die zij Sinkclose noemen. De fout zou hackers in staat stellen hun eigen code uit te voeren in een van de meest bevoorrechte bedieningsmodi van AMD-processors, bekend als de Systeembeheermodus, ontworpen om alleen te worden gereserveerd voor een specifiek, beschermd deel van de firmware. IOActive-onderzoekers waarschuwen dat dit vrijwel alle AMD-chips uit 2006, of mogelijk zelfs eerder, treft.
Nissim en Okupski merken op dat het misbruiken van de fout zou vereisen dat hackers al relatief diepe toegang zouden krijgen tot een op AMD gebaseerde computer of server, maar dat de Sinkclose-fout hen vervolgens in staat zou stellen hun kwaadaardige code nog dieper te injecteren. Voor elke machine met een van de kwetsbare AMD-chips waarschuwen IOActive-onderzoekers dat een aanvaller de computer kan infecteren met malware die bekend staat als een “bootkit”, die antivirusprogramma’s omzeilt en mogelijk onzichtbaar is voor het besturingssysteem, terwijl een hacker volledige toegang krijgt tot de computer. toegang om met de machine te knoeien en de activiteit ervan te controleren. Voor systemen met bepaalde verkeerde configuraties in de manier waarop de pc-maker de beveiligingsfunctie van AMD implementeerde, bekend als Platform Secure Boot (waarvan de onderzoekers waarschuwen dat deze de overgrote meerderheid van de systemen bestrijkt die ze hebben getest), kan een infectie met malware die via Sinkclose is geïnstalleerd moeilijker te detecteren of te verhelpen zijn. ze zeggen dat ze zelfs het opnieuw installeren van het besturingssysteem hebben overleefd.
“Stel je hackers van natiestaten voor, of wie dan ook die op jouw systeem wil blijven werken. Zelfs als je je schijf wist, zal deze er nog steeds zijn”, zegt Okupski. “Het zal bijna onzichtbaar en bijna onherstelbaar zijn.” Door simpelweg de behuizing van de computer te openen, fysiek rechtstreeks verbinding te maken met een specifiek gedeelte van de geheugenchips met behulp van een op hardware gebaseerd programmeerhulpmiddel dat bekend staat als een SPI Flash-programmeur, en het zorgvuldig opschonen van het geheugen zou het mogelijk maken de malware te verwijderen, zegt Okupski.
Nissim vat dat worstcasescenario praktischer samen: “Je moet eigenlijk je computer weggooien.
In een verklaring gedeeld met WIRED erkende AMD de bevindingen van IOActive, bedankte de onderzoekers voor hun werk en merkte op dat het “beperkingsopties heeft aangekondigd voor zijn AMD EPYC-datacenterproducten en AMD Ryzen PC-producten, en oplossingen voor ingebedde AMD-producten die binnenkort beschikbaar komen. ”. (De term ’embedded’ verwijst in dit geval naar AMD-chips die worden aangetroffen in systemen zoals industriële apparaten en auto’s.) Voor zijn EPYC-processors die zijn ontworpen voor gebruik in datacenterservers, merkte het bedrijf op dat het eerder dit jaar patches had aangekondigd. jaar. AMD weigerde vooraf vragen te beantwoorden over hoe het van plan is de Sinkclose-kwetsbaarheid op te lossen, of voor welke apparaten precies en wanneer, maar wees op een volledige lijst met getroffen producten die te vinden zijn op de beveiligingsbulletinpagina op zijn website.