SinkClose: брешь в процессорах AMD позволяет установить вредонос на Ring -2

Екатерина Быстрова 12 Августа 2024 - 09:31

...

SinkClose: брешь в процессорах AMD позволяет установить вредонос на Ring -2

AMD предупреждает об опасной уязвимости, затрагивающей сразу несколько поколений процессоров EPYC, Ryzen и Threadripper. Проблема под кодовым именем SinkClose позволяет злоумышленникам установить практически недетектируемый вредонос.

Если у атакующих будет доступ на уровне ядра (Ring 0), они смогут пробраться ещё ниже — на Ring -2, который является одним из самых привилегированных уровней на устройстве. Ring -2 сидит глубже, чем Ring -1 (используется для гипервизоров и CPU-виртуализации) и Ring 0 (уровень ядра).

Как правило, Ring -2 связывают с функциональностью современных процессоров, известной как System Management Mode (SMM). SMM отвечает за управление питанием, контролирует аппаратную составляющую и часть защитного слоя, чтобы гарантировать стабильную работу операционной системы.

Разработчики изолировали привилегированную SMM от остальной ОС из-за опасений, что злоумышленники и вредоносные программы смогут легко добраться до этой функциональности.

Уязвимость SinkClose получила идентификатор CVE-2023-31315 и 7,5 балла по шкале CVSS. На брешь наткнулись исследователи из IOActive — Энрике Ниссим и Кшиштоф Окупски. Подробную информацию специалисты представили на мероприятии DefCon в докладе «AMD Sinkclose: Universal Ring-2 Privilege Escalation».

По словам экспертов, SinkClose оставалась незамеченной почти 20 лет. А меж тем уязвимость затрагивает целый спектр семейств процессоров от AMD.

В случае эксплуатации у атакующих появляется возможность изменить настройки SMM, даже если активирован защитный механизм SMM Lock. Другими словами, атакующий может отключить обеспечивающие безопасность функции и установить на устройство вредоносную программу, которую будет практически невозможно детектировать.

Поскольку Ring -2 изолирован и невидим для ОС и гипервизора, любые модификации на этом уровне останутся вне зоны досягаемости установленных на устройстве защитных программ.

В беседе с Wired Окупски уточнил: единственный способ выявить и удалить вредоноса на Ring -2 — физически подключиться к процессору с помощью инструмента SPI Flash и просканировать память.

Согласно официальному уведомлению от AMD, затронуты следующие модели CPU:

EPYC 1-го, 2-го, 3-го и 4-го поколений;
EPYC Embedded 3000, 7002, 7003, 9003, R1000, R2000, 5000 и 7000;
Ryzen Embedded V1000, V2000 и V3000;
Ryzen 3000, 5000, 4000, 7000 и 8000;
Ryzen 3000 Mobile, 5000 Mobile, 4000 Mobile и 7000 Mobile;
Ryzen Threadripper 3000 и 7000;
AMD Threadripper PRO (Castle Peak WS SP3, Chagall WS);
AMD Athlon 3000 Mobile (Dali, Pollock);
AMD Instinct MI300A.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 16 Июля 2025 - 12:16

Корпорации Государство Сетевая безопасность Межсетевой экран Межсетевые экраны нового поколения (NGFW) Код Безопасности

Российский рынок ИБ вырос на 27% в 2024 году — инвестировали 339 млрд руб.

В 2024 году российские компании, госструктуры и обычные пользователи вложили в решения и услуги по информационной безопасности 339 миллиардов рублей. Это на 27% больше, чем годом ранее, говорится в исследовании компании «Стрим Консалтинг».

На «железо» пришлось 28% всех затрат, на софт — 23%. Также заметно подрос рынок ИБ-сервисов и техподдержки — сразу на 29%.

Одним из самых активных направлений стали межсетевые экраны — как обычные (FW), так и «продвинутые» (NGFW). В сегменте аппаратных решений траты на NGFW выросли на 37%, на классические FW — на 26%.

По данным исследования, лидером среди производителей аппаратных решений по ИБ стала компания «Код Безопасности».

«Сетевая безопасность — это по-прежнему самое крупное направление на рынке ИБ, и межсетевые экраны играют в нём ключевую роль: это многофункциональные устройства, которые позволяют отбиваться сразу от нескольких видов угроз», — говорит Павел Коростелев, руководитель отдела продвижения продуктов в «Коде Безопасности».

Он также отметил, что спрос на такие решения в ближайшие годы может немного «остыть» — многие организации уже успели перейти на отечественные аналоги. Но в целом до 2029 года расходы на NGFW будут расти в среднем на 14% в год, а на обычные FW — на 8%. В целом, по его словам, расходы на аппаратные продукты будут увеличиваться примерно на 14% ежегодно.

Эксперты связывают рост рынка с тремя основными факторами: активным импортозамещением, ростом числа киберугроз и усилением регулирования в сфере ИБ.

Основными потребителями решений по безопасности остаются крупные компании с выручкой от 2 до 25 млрд рублей и выше, а также федеральные и региональные госорганы.

Если текущие темпы сохранятся, то к 2029 году объём российского рынка информационной безопасности может достигнуть 743 миллиардов рублей.