Ricercatori di sicurezza della società IOActive hanno recentemente scoperto una grave vulnerabilità, denominata “Sinkclose” (CVE-2023-31315). Affligge qualunque processore AMD prodotto dal 2006 ad oggi. Questa falla consente ad un attaccante che abbia già ottenuto l’accesso al kernel del sistema operativo di eseguire codice arbitrario nella modalità SMM (System Management Mode) del processore; una modalità altamente privilegiata normalmente riservata solo a funzioni critiche del firmware.
Sfruttando Sinkclose, un malintenzionato può installare un bootkit; ovvero, un malware che si attiva all’avvio del PC prima ancora del caricamento del sistema operativo, rendendosi di fatto invisibile e molto difficile da rilevare o rimuovere. Anche la formattazione del disco sarebbe inutile.
L’impatto di Sinkclose sui processori AMD
La vulnerabilità è stata identificata dai ricercatori di sicurezza Enrique Nissim e Krzysztof Okupski della società IOActive. I dettagli della loro scoperta saranno mostrati alla conferenza Defcon di Las Vegas.
Ciò che rende particolarmente insidiosa questa falla è la sua capacità di consentire agli attaccanti di eseguire codice malevolo all’interno della System Management Mode (SMM) del processore; un’area altamente privilegiata normalmente riservata alle operazioni critiche del firmware. Sfruttando Sinkclose, i malintenzionati potrebbero potenzialmente installare malware a livello di bootkit. A questo livello è eluso ogni rilevamento da parte degli antivirus; e può persistere anche dopo la reinstallazione del sistema operativo.
Una volta che il PC è infettato da Sinkclose, secondo Okupski, l’unico modo per rimuovere un virus del genere è quello di collegarsi fisicamente alla memoria del computer utilizzando un programmatore SPI Flash e scansionarlo attentamente. Non è un’azione alla portata di tutti. La seconda opzione per Okupski è quella di buttare e distruggere il computer; dal momento che neanche una formattazione o sostituzione degli hard disk eliminerebbe il problema.
La vulnerabilità Sinkclose impatta potenzialmente centinaia di milioni di computer portatili, fissi e server equipaggiati con CPU AMD negli ultimi 18 anni. Praticamente tutte le principali linee di processori del produttore sono affette; inclusi i chip per server EPYC, quelli consumer Ryzen e Threadripper, le APU della serie Athlon e persino i SoC embedded delle gamme R ed V.
AMD ha già rilasciato patch di mitigazione per alcuni dei prodotti più critici e diffusi, come EPYC e Ryzen; ma il supporto è ancora incompleto, specie per i modelli embedded. Purtroppo, data l’età della falla (18 anni) molti dei sistemi vulnerabili non riceveranno mai un aggiornamento correttivo; in quanto fuori produzione e non più supportati dai rispettivi produttori.
Come proteggersi dalla minaccia
Sebbene lo sfruttamento di Sinkclose richieda che un attaccante abbia già compromesso il sistema ottenendo privilegi di kernel, ciò non è affatto un’ipotesi remota; vulnerabilità in driver di terze parti che girano in kernel mode vengono scoperte con una certa regolarità e sono un vettore d’attacco abituale per gruppi APT e criminali informatici.
Ciò detto, si raccomanda a chiunque possieda un computer con processore AMD di aggiornare il BIOS/UEFI della scheda madre non appena il produttore renderà disponibile una versione che incorpori le patch rilasciate da AMD. Solo in questo modo sarà possibile mitigare il rischio posto da Sinkclose; a patto che il proprio sistema disponga anche delle funzionalità di sicurezza aggiuntive previste da AMD come Platform Secure Boot e fTPM.
Sinkclose è uno strumento potenzialmente devastante nelle mani di attori malintenzionati sofisticati. L’impatto potenziale va ben oltre i singoli consumatori; si estende a infrastrutture critiche, istituzioni finanziarie e organizzazioni governative che utilizzano sistemi basati su processori AMD.
La difficoltà di rilevare e rimuovere il malware installato sfruttando Sinkclose aggiunge un ulteriore livello di complessità alla gestione di questa minaccia. In alcuni casi potrebbe essere più semplice abbandonare completamente un sistema infetto piuttosto che tentare di ripulirlo; ciò evidenzia la gravità della situazione e le potenziali implicazioni economiche per le organizzazioni colpite.
Conclusioni e considerazioni
La vulnerabilità Sinkclose rappresenta una sfida importante per la sicurezza informatica; mette in luce la complessità e la fragilità dei sistemi informatici moderni.
La scoperta della vulnerabilità Sinkclose nei processori AMD è senza dubbio preoccupante; sia per la gravità della falla che per la sua longevità e il numero di sistemi potenzialmente impattati. Tuttavia, è bene ricordare che il suo sfruttamento richiede comunque un accesso preliminare al sistema con privilegi elevati; una condizione non banale da soddisfare per un attaccante.
Ciò non toglie che Sinkclose rappresenti un rischio concreto; specie per utenze sensibili come aziende e pubbliche amministrazioni nel mirino di gruppi hacker. In generale, la vicenda è l’ennesima dimostrazione di come sia essenziale mantenere aggiornati i propri sistemi; applicando prontamente ogni patch di sicurezza rilasciata dai produttori dell’hardware e del software in uso.
Questa situazione solleva importanti questioni sulla sicurezza a lungo termine dei dispositivi elettronici e sulla necessità di un approccio più proattivo alla gestione delle vulnerabilità hardware.
