AMD เตือนภัยช่องโหว่ความร้ายแรงสูงที่ชื่อว่า SinkClose ในชิปประมวลผล EPYC, Ryzen และ Threadripper หลายรุ่น ที่เปิดทางให้แฮกเกอร์สามารถเจาะอุปกรณ์ด้วยการเข้าถึงระดับ Kernel ของระบบปฏิบัติการในแบบที่แทบจะตรวจจับไม่ได้
The post AMD เตือนภัยช่องโหว่ในซีพียูตระกูล EPYC, RYZEN และ Threadripper ที่แฮกเกอร์ใช้ซ่อนมัลแวร์ได้ appeared first on BT beartai.
AMD เตือนภัยช่องโหว่ความร้ายแรงสูงที่ชื่อว่า SinkClose ในชิปประมวลผล EPYC, Ryzen และ Threadripper หลายรุ่น ที่เปิดทางให้แฮกเกอร์สามารถเจาะอุปกรณ์ด้วยการเข้าถึงระดับ Kernel ของระบบปฏิบัติการในแบบที่แทบจะตรวจจับไม่ได้
SinkClose จะอนุญาตให้แฮกเกอร์ลอดผ่านเข้าไปในอุปกรณ์เป้าหมายด้วยสิทธิการเข้าถึงในระดับ Ring-2 ซึ่งเป็นฟีเจอร์ของโหมดการจัดการระบบ (SMM) ของซีพียู รุ่นใหม่ ๆ ซึ่งตัว SMM นี้ทำหน้าดูแลการบริหารจัดการพลังงาน การควบคุมฮาร์ดแวร์ ความปลอดภัย และระบบการทำงานพื้นฐานที่เกี่ยวกับความเสถียรของระบบ
ระดับ Ring-2 ถือเป็นสิทธิการเข้าถึงระบบที่สูงมาก จนแยกออกจากตัวระบบปฏิบัติการของคอมพิวเตอร์ ที่เป็นแบบนั้นก็เพื่อป้องกันการตกเป็นเป้าโจมตีของมัลแวร์และแฮกเกอร์ แต่ทว่า SinkClose กลับเปิดทางลัดเข้าไปสู่ Ring-2 ได้เลย
เอนริเก นิสซิม (Enrique Nissim) และ คริสซ์ตอฟ โอกุปสกี (Krzysztof Okupski) 2 นักวิจัยที่เป็นคนเจอและตั้งชื่อช่องโหว่นี้ระบุว่า SinkClose จะอนุญาตให้แฮกเกอร์ที่มีสิทธิการเข้าถึงในระดับ Kernel (Ring 0) สามารถเข้าเปลี่ยนแปลงการตั้งค่าของ SMM โดยสามารถเข้าไปปิดฟีเจอร์ด้านความปลอดภัยและลอบวางมัลแวร์ที่ตรวจจับได้ยากมาก
ทั้งสองคนชี้ว่าช่องโหว่ SinkClose ซึ่งมีรหัสติดตามว่า CVE-2023-31315 (คะแนนความรุนแรงหรือ CVSS อยู่ที่ 7.5 เต็ม 10) นั้นจริง ๆ ซ่อนตัวอยู่มากเกือบ 20 ปีแล้ว และส่งผลกระทบกับชิปซีพียู AMD ในหลายโมเดล โดย AMD ระบุว่าโมเดลที่ได้รับผลกระทบ ได้แก่
EPYC ตั้งแต่เจเนอร์เรชัน 1 -4
EPYC Embedded 3000, 7002, 7003, and 9003, R1000, R2000, 5000 และ 7000
Ryzen Embedded V1000, V2000 และ V3000
Ryzen ซีรีส์ 3000, 5000, 4000, 7000 และ 8000
Ryzen Mobile ซีรีส์ 3000, 4000, 5000, และ 7000
Ryzen Threadripper 3000 และ 7000
AMD Threadripper PRO (Castle Peak WS SP3 และ Chagall WS)
AMD Athlon 3000 Mobile (Dali, Pollock)
AMD Instinct MI300A
วิธีเดียวที่จะตรวจเจอและถอนมัลแวร์ที่ติดตั้งด้วย SinkClose ก็คือการใช้อุปกรณ์ที่เรียกว่า SPI Flash Programmer เชื่อมต่อโดยตรงกับซีพียูเพื่อสแกนหน่วยความจำเท่านั้น
ทั้งนี้ AMD เผยว่าได้ออกตัวอัปเดตออกมาแก้ SinkClose ในซีพียีในโมเดล EPYC และ Ryzen บนเดสก์ท็อปและมือถือแล้ว โดยจะมีตัวแก้สำหรับรุ่นอื่น ๆ ต่อไป
นอกจากนี้ บริษัทยังชีั้ด้วยว่าการใช้ช่องโหว่ SinClose ในชีวิตจริงทำได้ค่อนข้างยาก แต่ทั้งสองนักวิจัยก็แย้งว่าแม้การโจมตีในระดับ Kernel จะไม่แพร่หลาย แต่ก็มีให้เห็นในการโจมตีที่มีความซับซ้อน ซึ่งเว็บไซต์ BleepingComputer ก็ช่วยยืนยันข้อเท็จจริงตรงนี้ โดยระบุว่ามีกรณีลักษณะนี้ให้เห็นมาหลายครั้ง
The post AMD เตือนภัยช่องโหว่ในซีพียูตระกูล EPYC, RYZEN และ Threadripper ที่แฮกเกอร์ใช้ซ่อนมัลแวร์ได้ appeared first on BT beartai.
Credit ข่าวจาก : www.beartai.com/