Ricercatori specializzati in sicurezza hanno individuato una vulnerabilità presente da anni nei processori AMD e che potrebbe essere sfruttata per eseguire codice arbitrario che non è possibile rilevare da antivirus e protezioni di sistema.
La falla, denominata “Sinkclose” (gioco di parole tra la funzione che espone il processore alla vulnerabilità, e Sinkhole, nome dato a una vulnerabilità simile individuata sulle CPU Intel nel 2015), è stata scoperta da ricercatori di IOActive, azienda specializzata in sicurezza. Sfruttando questa vulnerabilità (che risale al 2006 e riguarda un numero sterminato di chip di questo brand) è possibile eseguire codice nella modalità più privilegiata possibile sui processori AMD, la “System Management Mode” (SMM), porzione tipicamente protetta del firmware.
A rendere particolarmente pericola la falla, è la possibilità di iniettare “bootkit” (malware che è possibile eseguire all’accensione della macchina), rendendo impossibile il rilevamento al sistema operativo o soluzioni di sicurezza (il malware sopravvive anche alla reinstallazione del sistema operativo da zero).
Benché potenzialmente catastrofica, le possibilità di attacco sono ridotte: per sfruttare la vulnerabilità bisogna avere accesso a PC o server aziendale, oppure riuscire a prendere il controllo dei privilegi di kernel del sistema operativo della macchina, fattori che richiedono competenze elevate e riducono i rischi.
Nella pagina web di AMD dedicata ai bollettini di sicurezza, l’azienda indica l’elenco dei processori colpiti, i rimedi previsti e fix disponibili. Patch sono state predisposte per processori dedicati a server e i processori Ryzen; successivamente saranno offerte quelle per i processori embedded.
I ricercatori evidenziano che, sebbene la vulnerabilità sia difficile da sfruttare, cybercriminali ben “foraggiati”, Ad esempio quelli sostenuti dalle agenzie governative, potrebbero già disporre degli strumenti necessari per sfruttarla.
"Researchers warn that a bug in AMD’s chips would allow attackers to root into some of the most privileged portions of a computer…" New piece from @WIRED featuring research from IOActive Principal Security Consultants, Enrique Nissim & Krzysztof Okupski. https://t.co/UuvzC2qyGI
— IOActive, Inc (@IOActive) August 9, 2024
Il suggerimento è di tenere d’occhio gli aggiornamenti dei vari produttori di PC e server e di installarli non appena disponibili, oltre ad aggiornare il sistema operativo.
Per tutte le notizie sulla sicurezza informatica rimandiamo alla sezione dedicata di macitynet.
