Uma falha de segurança crítica, presente em centenas de milhões de processadores AMD desde 2006, foi descoberta por pesquisadores da IOActive. Apelidada de "Sinkclose", a vulnerabilidade permite que hackers executem códigos maliciosos em um dos modos mais privilegiados do processador, conhecido como *System Management Mode* (SMM), que deveria ser reservado apenas para porções específicas e protegidas do firmware.
Essa falha, caso explorada, pode tornar a remoção do malware extremamente difícil, podendo até exigir o descarte completo do computador.
Detalhes da vulnerabilidade
A exploração dessa falha pode permitir que hackers implantem um bootkit — um tipo de malware que se integra ao sistema desde a inicialização, tornando-se praticamente invisível para o sistema operacional e ferramentas antivírus.
A falha se aproveita de uma função obscura dos processadores AMD, conhecida como "TClose". Essa função, em combinação com um mecanismo de proteção chamado "TSeg", impede que sistemas operacionais escrevam em uma parte protegida da memória conhecida como "System Management Random Access Memory" (SMRAM). No entanto, ao explorar o remapeamento de memória realizado pelo "TClose", os hackers podem redirecionar o código SMM para executar comandos maliciosos.
A descoberta foi feita por Enrique Nissim e Krzysztof Okupski, que planejam apresentar a falha durante a conferência de hackers Defcon. Segundo os pesquisadores, o Sinkclose afeta praticamente todos os processadores AMD lançados há quase duas décadas.
Impacto e Dificuldade de Correção
Embora a exploração do Sinkclose exija que o atacante já tenha acesso ao núcleo do sistema operacional (kernel), os pesquisadores alertam que ataques desse tipo são comuns em sistemas Windows e Linux, expondo assim a gravidade da falha. Em dispositivos com configurações específicas, como falhas no "Platform Secure Boot" da AMD, a detecção e remoção do malware podem ser ainda mais difíceis, sobrevivendo até mesmo a uma reinstalação completa do sistema operacional.
Em nota, a AMD reconheceu a falha e afirmou que já lançou opções de mitigação para seus produtos EPYC, voltados para servidores e datacenters, e para os processadores Ryzen, utilizados em PCs. A empresa também indicou que as atualizações para produtos embarcados, como dispositivos industriais e automotivos, serão lançadas em breve.
No entanto, a AMD não forneceu detalhes sobre como pretende corrigir a vulnerabilidade em todos os dispositivos afetados.
Recomendação aos usuários
Para se proteger, os usuários são orientados a aplicar imediatamente as atualizações de segurança disponibilizadas por seus fabricantes. No caso de sistemas Windows, espera-se que as correções sejam integradas nas atualizações futuras do sistema operacional. Já para servidores e sistemas Linux, as atualizações podem ser mais fragmentadas e exigir procedimentos manuais.
Apesar da complexidade da exploração do Sinkclose, a IOActive alerta que hackers sofisticados podem rapidamente encontrar maneiras de tirar proveito dessa vulnerabilidade, tornando a correção urgente para todos os sistemas afetados.
FIQUE POR DENTRO!