AMD, EPYC, Ryzen ve Threadripper işlemcilerinin birden fazla neslini etkileyen SinkClose adlı yüksek önem derecesine sahip bir CPU güvenlik açığı konusunda uyarıda bulunuyor. Güvenlik açığı, Kernel düzeyinde (Ring 0) ayrıcalıklara sahip saldırganların Ring -2 ayrıcalıkları elde etmesine ve neredeyse tespit edilemez hale gelen kötü amaçlı yazılımlar yüklemesine olanak tanıyor.
Ring -2, bir bilgisayardaki en yüksek ayrıcalık seviyelerinden biridir ve Ring -1’in (hipervizörler ve CPU sanallaştırma için kullanılır) ve bir işletim sisteminin Çekirdeği tarafından kullanılan ayrıcalık seviyesi olan Ring 0’ın üzerinde çalışır.
Ring -2 ayrıcalık seviyesi, modern CPU’ların Sistem Yönetim Modu (SMM) özelliği ile ilişkilidir. SMM, güç yönetimi, donanım kontrolü, güvenlik ve sistem kararlılığı için gereken diğer düşük seviyeli işlemleri yönetir.
Yüksek ayrıcalık seviyesi sayesinde SMM, tehdit aktörleri ve kötü amaçlı yazılımlar tarafından kolayca hedef alınmasını önlemek için işletim sisteminden izole edilmiştir.
SinkClose CPU hatası
CVE-2023-31315 olarak takip edilen ve yüksek önem derecesine sahip (CVSS puanı: 7,5) bu açığı, ayrıcalık yükseltme saldırısına ‘Sinkclose’ adını veren IOActive Enrique Nissim ve Krzysztof Okupski keşfetti.
Saldırıya ilişkin tüm detaylar araştırmacılar tarafından yarın “AMD Sinkclose: Evrensel Halka-2 Ayrıcalık Yükseltmesi” başlıklı DefCon konuşmasında sunulacak.
Araştırmacılar, Sinkclose’un yaklaşık 20 yıldır fark edilmeden varlığını sürdürdüğünü ve bu durumun çok çeşitli AMD çip modellerini etkilediğini bildiriyor.
SinkClose açığı, Kernel düzeyinde erişime (Ring 0) sahip saldırganların, SMM Kilidi etkin olsa bile Sistem Yönetim Modu (SMM) ayarlarını değiştirmesine olanak tanır. Bu açık, güvenlik özelliklerini kapatmak ve bir cihaza kalıcı, neredeyse algılanamayan kötü amaçlı yazılım yerleştirmek için kullanılabilir.
Ring -2, işletim sistemi ve hipervizör için izole edilmiş ve görünmezdir, bu nedenle bu düzeyde yapılan herhangi bir kötü amaçlı değişiklik işletim sisteminde çalışan güvenlik araçları tarafından yakalanamaz veya düzeltilemez.
Okupski, Wired’a yaptığı açıklamada, SinkClose kullanılarak yüklenen kötü amaçlı yazılımları tespit edip kaldırmanın tek yolunun, SPI Flash programlayıcı adı verilen bir araç kullanarak CPU’lara fiziksel olarak bağlanmak ve belleği kötü amaçlı yazılımlara karşı taramak olduğunu söyledi.
AMD’nin duyurusuna göre aşağıdaki modeller etkileniyor:
- EPYC 1., 2., 3. ve 4. nesiller
- EPYC Embedded 3000, 7002, 7003 ve 9003, R1000, R2000, 5000 ve 7000
- Ryzen Embedded V1000, V2000 ve V3000
- Ryzen 3000, 5000, 4000, 7000 ve 8000 serisi
- Ryzen 3000 Mobile, 5000 Mobile, 4000 Mobile ve 7000 Mobile serileri
- Ryzen Threadripper 3000 ve 7000 serisi
- AMD Threadripper PRO (Castle Peak WS SP3, Chagall WS)
- AMD Athlon 3000 serisi Mobil (Dali, Pollock)
- AMD İçgüdü MI300A
AMD, duyurusunda EPYC ve AMD Ryzen masaüstü ve mobil işlemcileri için önlemleri halihazırda yayınladığını, gömülü işlemciler için ise daha sonraki aşamalarda daha fazla düzeltmenin yayınlanacağını belirtti.
Gerçek sonuçlar ve yanıt
Sinkclose saldırısını gerçekleştirmek için çekirdek düzeyinde erişim ön koşuldur. AMD, Wired’a yaptığı açıklamada, gerçek dünya senaryolarında CVE-2023-31315’i istismar etmenin zorluğunun altını çizerek bunu belirtti.
Ancak IOActive, çekirdek düzeyindeki güvenlik açıklarının yaygın olmasa da karmaşık saldırılarda kesinlikle nadir olmadığını söyleyerek yanıt verdi; bu, BleepingComputer tarafından ele alınan önceki saldırılara bakıldığında doğru.
Kuzey Koreli Lazarus grubu gibi Gelişmiş Sürekli Tehdit (APT) aktörleri, ayrıcalıklarını artırmak ve çekirdek düzeyinde erişim elde etmek için BYOVD (Kendi Güvenlik Açığını Getir) tekniklerini kullanıyor veya hatta sıfır günlük Windows açıklarından yararlanıyor.
Fidye yazılımı çeteleri ayrıca, ekstra kar elde etmek için diğer siber suçlulara sattıkları özel EDR öldürme araçlarını kullanarak BYOVD taktiklerini de kullanırlar.
Ünlü sosyal mühendislik uzmanları Scattered Spider’ın da güvenlik ürünlerini kapatmak için BYOVD’yi kullandığı görüldü.
Bu saldırılar, Microsoft imzalı sürücülerden, anti-virüs sürücülerinden, MSI grafik sürücülerinden, hatalı OEM sürücülerinden ve hatta çekirdek düzeyinde erişime sahip oyun hile önleme araçlarından oluşan çeşitli araçlar aracılığıyla mümkün olabiliyor.
Tüm bunların yanı sıra, Sinkclose, AMD tabanlı sistemleri kullanan kuruluşlar için, özellikle devlet destekli ve gelişmiş tehdit aktörleri açısından önemli bir tehdit oluşturabilir ve göz ardı edilmemelidir.