Sicherheitsforscher von IOActive haben eine als Sinkclose bezeichnete Sicherheitslücke in AMD-CPUs entdeckt, die den Angaben zufolge seit fast zwei Jahrzehnten besteht und unzählige Prozessoren des Herstellers betrifft. Damit soll es Angreifern möglich sein, Software im sogenannten System Management Mode (SMM) auszuführen – ein besonders privilegierter Modus, in dem die Ausführung für das Betriebssystem und andere Anwendungen nicht sichtbar ist.
SMM wird in der Regel für spezielle Low-Level-Operationen verwendet, etwa für die Steuerung von Hardwarekomponenten oder das Energiemanagement. Der Modus arbeitet auf der Privilegienstufe Ring -2 und operiert damit noch über dem Kernel-Modus (Ring 0) und dem Hypervisor-Modus (Ring -1).
Gegenüber Wired erklärten die Forscher, per Sinkclose ließen sich etwa Bootkits installieren, die für das Betriebssystem und gängige Antivirensoftware unsichtbar seien, während Angreifer einen Vollzugriff auf das Zielsystem erhielten.
Eine solche Malware-Infektion lasse sich nicht nur schwer erkennen, sondern obendrein auch nur mit erheblichem Aufwand entfernen. Selbst die Neuinstallation des Betriebssystems reiche dafür nicht aus.
"Nur wenn man das Gehäuse eines Computers öffnet und mit einem hardwarebasierten Programmiertool, dem sogenannten SPI Flash Programmer, eine direkte Verbindung zu einem bestimmten Teil der Speicherchips herstellt und den Speicher sorgfältig durchsucht, kann die Malware entfernt werden", so einer der IOActive-Forscher. "Im Grunde können Sie Ihren Computer besser wegwerfen."
Vorab ist ein Kernelzugriff erforderlich
Allzu einfach scheint der Einsatz der als CVE-2023-31315 registrierten Sinkclose-Lücke allerdings nicht zu sein. "Ich glaube, das ist der komplexeste Fehler, den ich je ausgenutzt habe", erklärte einer der Forscher.
AMD betonte zudem gegenüber Wired, für einen erfolgreichen Angriff benötigten Angreifer bereits Kernelzugriff (Ring 0). Das Zielsystem muss also bereits auf hoher Berechtigungsebene kompromittiert sein. Sinkclose ermöglicht es Angreifern lediglich, sich danach einen persistenten Zugang zu sichern und dabei unentdeckt zu bleiben.
Die IOActive-Forscher warnen allerdings hinsichtlich der erforderlichen Zugriffsrechte, dass regelmäßig neue Schwachstellen entdeckt werden, die einen Zugriff auf Kernelebene gewährten. Passende Exploits seien für diverse Betriebssysteme längst verfügbar. Gerade staatlich unterstützte Hacker hätten mit hoher Wahrscheinlichkeit Zugang zu entsprechenden Angriffstechniken.
In einem Bericht von Bleeping Computer werden passend dazu mehrere Beispiele für frühere Cyberangriffe genannt, bei denen sich die Angreifer Kernelzugriffe verschaffen konnten. Möglich ist das demnach unter anderem durch Sicherheitslücken in Anti-Cheat-Tools, Grafiktreibern, Treibern von Sicherheitstools sowie zahlreichen anderen Treibern, die über Berechtigungen auf Kernelebene verfügen.
Patches bisher nur teilweise verfügbar
Die IOActive-Forscher wollen Sinkclose in Kürze auf der laufenden Hackerkonferenz Defcon 32 in Las Vegas vorstellen. Dem Wired-Bericht zufolge informierten sie AMD schon im Oktober 2023 über die Sicherheitslücke.
Dass das Forschungsteam damit erst jetzt an die Öffentlichkeit geht, liegt daran, dass IOActive dem CPU-Hersteller Zeit einräumen wollte, um an einem Fix zu arbeiten. Aus diesem Grund soll vorerst auch kein Proof-of-Concept-Code erscheinen.
Wie aus einem Security Bulletin von AMD hervorgeht, gibt es bereits Firmwareupdates für zahlreiche Epyc-, Athlon- und Ryzen-CPUs. Für einige Embedded-Prozessoren kommen entsprechende Patches allerdings erst im Oktober.
Dass es tatsächlich für alle betroffenen CPUs Firmwareupdates geben wird, darf allerdings bezweifelt werden. Laut IOActive sind sogar Prozessoren aus dem Jahr 2006 oder möglicherweise sogar noch ältere Modelle anfällig für Sinkclose.
