Processadores AMD tem falha de segurança "Sinkclose": Malware pode ser irremovível

Adriano Camargo
Adriano Camargo

Uma falha de segurança crítica, presente em centenas de milhões de processadores AMD desde 2006, foi descoberta por pesquisadores da IOActive. Apelidada de "Sinkclose", a vulnerabilidade permite que hackers executem códigos maliciosos em um dos modos mais privilegiados do processador, conhecido como *System Management Mode* (SMM), que deveria ser reservado apenas para porções específicas e protegidas do firmware.

Processador AMD vulnerabilidade grave
Processadores AMD tem vulnerabilidade gravíssima (Imagem: Roger Kisby)

Essa falha, caso explorada, pode tornar a remoção do malware extremamente difícil, podendo até exigir o descarte completo do computador.

Detalhes da vulnerabilidade

A exploração dessa falha pode permitir que hackers implantem um bootkit — um tipo de malware que se integra ao sistema desde a inicialização, tornando-se praticamente invisível para o sistema operacional e ferramentas antivírus.

A falha se aproveita de uma função obscura dos processadores AMD, conhecida como "TClose". Essa função, em combinação com um mecanismo de proteção chamado "TSeg", impede que sistemas operacionais escrevam em uma parte protegida da memória conhecida como "System Management Random Access Memory" (SMRAM). No entanto, ao explorar o remapeamento de memória realizado pelo "TClose", os hackers podem redirecionar o código SMM para executar comandos maliciosos.

A descoberta foi feita por Enrique Nissim e Krzysztof Okupski, que planejam apresentar a falha durante a conferência de hackers Defcon. Segundo os pesquisadores, o Sinkclose afeta praticamente todos os processadores AMD lançados há quase duas décadas.

Pesquisadores Enrique Nissim e Krzysztof Okupski
Pesquisadores Enrique Nissim e Krzysztof Okupski (Imagem: Roger Kisby)

Impacto e Dificuldade de Correção

Embora a exploração do Sinkclose exija que o atacante já tenha acesso ao núcleo do sistema operacional (kernel), os pesquisadores alertam que ataques desse tipo são comuns em sistemas Windows e Linux, expondo assim a gravidade da falha. Em dispositivos com configurações específicas, como falhas no "Platform Secure Boot" da AMD, a detecção e remoção do malware podem ser ainda mais difíceis, sobrevivendo até mesmo a uma reinstalação completa do sistema operacional.

Em nota, a AMD reconheceu a falha e afirmou que já lançou opções de mitigação para seus produtos EPYC, voltados para servidores e datacenters, e para os processadores Ryzen, utilizados em PCs. A empresa também indicou que as atualizações para produtos embarcados, como dispositivos industriais e automotivos, serão lançadas em breve.

No entanto, a AMD não forneceu detalhes sobre como pretende corrigir a vulnerabilidade em todos os dispositivos afetados.

Recomendação aos usuários

Para se proteger, os usuários são orientados a aplicar imediatamente as atualizações de segurança disponibilizadas por seus fabricantes. No caso de sistemas Windows, espera-se que as correções sejam integradas nas atualizações futuras do sistema operacional. Já para servidores e sistemas Linux, as atualizações podem ser mais fragmentadas e exigir procedimentos manuais.

Apesar da complexidade da exploração do Sinkclose, a IOActive alerta que hackers sofisticados podem rapidamente encontrar maneiras de tirar proveito dessa vulnerabilidade, tornando a correção urgente para todos os sistemas afetados.

FIQUE POR DENTRO!

Adriano Camargo
Adriano Camargo
Jornalista especializado em tecnologia há cerca de 20 anos, escreve textos, matérias, artigos, colunas e reviews e tem experiência na cobertura de alguns dos maiores eventos de tech do mundo, como BGS, CES, Computex, E3 e IFA.
recomenda: