محققان یک حفره امنیتی در پردازنده‌های AMD کشف کرده‌اند که تمام CPUهای ساخته شده توسط تیم قرمز در 15 سال اخیر یا حتی قبل‌تر را در بر می‌گیرد. پژوهشگران می‌گویند در صورتی که هکرها بتوانند با این روش به کامپیوتر شما نفوذ کنند بهتر است آن را دور  بیاندازید چراکه هیچ کدام از آنتی ویروس‌ها یا حتی نصب دوباره ویندوز هم نمی‌تواند آن را پاک کند. 

آسیب‌پذیری‌های موجود در فریمور (Firmware)  کامپیوتر که اولین برنامه اجرا شده هنگام روشن کردن سیستم است و حتی بالا آمدن سیستم عامل را نیز کنترل می‌کند، یکی از اهداف مورد علاقه هکرها برای نفوذ به سیستم قربانیان بوده است چرا که در صورت موفقیت‌‌، دسترسی بسیار زیادی به هکر می‌دهد.

دو محقق امنیتی از شرکت IOActiveبه نام‌های «Enrique Nissim» و «Krzysztof Okupski» یک آسیب‌پذیری جدی در پردازند‌های AMD کشف کرده‌اند که به هکر‌ها اجازه می‌دهد به سطح دسترسی System Management Mode (SMM) در پردازنده‌های این شرکت دست پیدا کنند. این سطح دسترسی در انحصار عملیات حیاتی فریمور پردازنده‌های AMD است.

Sinkclose چگونه کار می‌کند؟

پس از نفوذ به سیستم، هکرها امکان نصب یک بدافزار bootkit را خواهند داشت که می‌تواند همزمان با روشن شدن سیستم اجرا شود، غیر قابل ردیابی توسط آنتی ویروس‌ها و ویندوز باشد و حتی بعد از نصب مجدد ویندوز هم در کامپیوتر باقی بماند.

در این روش، نفوذ با دستکاری یکی از قابلیت‌های تراشه‌های AMD به نام TClose انجام می‌شود که کارکرد آن کمک به حفظ سازگاری با سخت‌افزارهای قدیمی عنوان شده است. با استفاده از این قابلیت‌، پژوهشگران موفق شدند پردازنده را فریب دهند تا کد مورد نظر آنها را با دسترسی SMM اجرا کند. هر چند اجرای این هک پیچیده است، اما به هکرها راهی موثر و ماندگار برای کنترل سیستم قربانی می‌دهد. قرار است جزئیات این آسیب‌پذیری توسط Nissim و Okupski در کنفرانس Defcon ارائه شود.

واکنش AMD به کشف Sinkclose

به گفته ای ام دی، آنها از چند ماه قبل توسط IOActive در جریان این حفره امنیتی قرار گرفته بودند و اقدامات لازم برای جلوگیری از سوء استفاده از این آسیب‌پذیری را انجام داده‌اند. همچنین Nissim و Okupski هم قبول کرده‌اند برای جلوگیری از خطرات احتمالی، نمونه کدهایی که منجر به هک فریمور پردازنده‌ها می‌شود را منتشر نکنند.

ای ام دی در بیانیه‌ای که در اختیار Wired قرار داده با اشاره به سختی استفاده از این روش برای نفوذ به CPUهای این شرکت می‌گوید:

برای استفاده از این آسیب‌پذیری، هکرها باید از قبل به کرنل کامپیوتر نفوذ کرده باشند. این کار مثل باز کردن قفل گاو صندوق بعد از نفوذ به بانک است.

کارشناسان IOActive اما به اندازه AMD خوش‌بین نیستند. هرچند استفاده از Sinkclose نیاز به دسترسی در سطح کرنل دارد اما راه‌های جدید نفوذ به کرنل سیستم‌عامل‌های معروف از جمله لینوکس و ویندوز هر روزه پیدا می‌شوند و هکرهایی که به منابع دولتی دسترسی دارنده، احتمالا ابزارهای لازم برای استفاده از این آسیب‌پذیری را در اختیار داشته باشند.

توصیه پژوهشگران امنیتی به کاربران

نفوذپذیری Sinkclose مدل‌های مختلف محصولات AMD از سری Ryzen گرفته تا پردازنده‌های مخصوص سرور EPYC را تهدید می‌کند. خبر خوب آنکه ای ام دی از 10 ماه پیش از این حفره امنیتی باخبر بوده و اقدامات لازم را شروع کرده است.