Biztonságtechnikai kutatók egy meglehetősen veszélyes sérülékenységre bukkantak az AMD térfelén, ami a hírek szerint a 2006 óta legyártott AMD processzorok túlnyomó többségét érinti. A felfedezés Enrique Nissim és Krysztof Okupski nevéhez fűződik, akik az IOActive kötelékét erősítik, a Sinkclose névre keresztelt hibát a DefCon alkalmával be is mutatták. A Sinkclose veszélye abban rejlik, hogy rajta keresztül az összes főbb védelmi mechanizmus megkerülhető az adott rendszer esetében, így például bootkitet/rootkitet is lehet telepíteni, amit a klasszikus vírusírtók sem felfedezni, sem eltávolítani nem tudnak, lényegében szabadon garázdálkodhat rajta keresztül az adott rendszeren a támadó.
A szakemberek szerint a sérülékenység az esetek egy részében azt eredményezi, hogy egyszerűbb lecserélni az adott rendszert, mint javítani. Magán a sebezhetőségen keresztül kódot lehet futtatni az AMD processzorok SMM (System Management Mode) üzemmódjában, amit normál esetben a kritikus fontosságú firmware műveletek számára tart fenn a rendszer. A Sinkclose persze csak akkor használható, ha a támadó előtte már sikeresen hozzáfért az operációs rendszer kerneljéhez, ami nem egy egyszerű feladat, de nem is kivitelezhetetlen, hiszen hasonló sebezhetőségekre elég gyakran derül fény.
A hiba egészen pontosan a TClose funkcióban rejlik, ami azért került be anno az AMD processzorok repertoárjába, hogy a régebbi eszközökkel való kompatibilitást biztosítani lehessen. Ezt a funkciót lehet manipulálni a megfelelő kódok és feltételek birtokában, amelynek keretén belül a támadó rá tudja venni a rendszert, hogy a processzor az SMM szintű feladatvégzés alkalmával ne a biztonságos kódokat, hanem saját, módosított kódjukat futtassa, ezáltal olyan kártékony kódok telepíthetőek, amelyeken keresztül észrevétlenül tevékenykedhetnek a hackerek.
A probléma az, hogy ha egyszer sikerült kinyitniuk ezt a kiskaput, akkor azt az operációs rendszer újratelepítésével nem lehet bezárni, hiszen a kártékony kód nem a klasszikus adattárolón foglal helyet, hanem mélyebben. Egy SPI Flash programozó segítségével persze át lehet vizsgálni a kritikus memóriaterületeket, így elvileg el is lehet távolítani a kártékony kódot, de ez nem egy egyszerű feladat.
Maga a sebezhetőség sajnos nemcsak a klienspiaci rendszereket érinti, hanem a beágyazott rendszereket és a szervereket is. A hibát 10 hónappal ezelőtt jelentették a kutatók az AMD csapatának, így volt idő elkészíteni a szükséges kódokat, amelyekkel csökkenthető a támadási felület, de teljes körű javításra sajnos nincs mód. További probléma, hogy már a RYZEN 1000, RYZEN 2000, illetve RYZEN 3000 sorozatú processzorokhoz sem érkezik javítás, csak úgy, ahogy a Threadripper 1000-es és 2000-es sorozat tagjaihoz sem, az ennél régebbi processzorokhoz és APU egységekhez pedig pláne nem. Az EPYC szerverprocesszorok összes generációja megkapta a szükséges patchet. A RYZEN 9000-es és a RYZEN AI 300-as sorozatú központi egységekkel kapcsolatban egyelőre nincs hír, ezek nem is szerepelnek az AMD listáján, így nincs kizárva, hogy már a gyártásuk előtt, mélyebb szinten eszközöltek változtatást a dizájnban, amellyel mentesülhettek a Sinkclose sebezhetőségtől.
Az érkező frissítéseket minden esetben érdemes telepíteni, legyen szó friss BIOS-ról, driverről, operációsrendszer-frissítésről, vagy bármi egyébről, ezzel ugyanis csökkenthető a támadási felület. A sebezhetőséget a biztonságtechnikai kutatók szerint főként a nagyobb, állami háttérrel rendelkező hackercsapatok használhatják, akik amúgy is komoly fegyverarzenállal rendelkeznek.
