بحران بی‌پایان تراشه؛ آسیب‌پذیری Sinkclose صدها میلیون پردازنده AMD را در معرض سرقت داده قرار می‌دهد

گروهی از محققان امنیتی مؤسسه‌ی IOActive، آسیب‌پذیری تازه و خطرناکی را در پردازنده‌های دسکتاپی، لپ‌تاپی و دیتاسنتر AMD کشف کرده‌اند که به‌طور مستقیم در هسته‌ی سیستم نفوذ می‌کند و می‌تواند به سرقت اطلاعات و مشکلات دیگر منجر شود.

Sinkclose نام آسیب‌پذیری امنیتی مهمی محسوب می‌شود که به‌تازگی کشف شده است و تقریباً همه‌ی پردازنده‌های AMD را که از سال ۲۰۰۶ به بعد عرضه شده‌اند، تحت‌تأثیر قرار می‌دهد. این شکاف امنیتی دست مهاجمان را برای نفوذ عمیق در سیستم‌ها باز می‌کند و شناسایی یا حذف بدافزارها را دشوار می‌سازد.

گفته می‌شود بحران آسیب‌پذیری Sinkclose به‌حدی جدی است که رهاکردن دستگاه آلوده‌شده در برخی موارد بصرفه‌تر از تعمیر آن خواهد بود؛ با این حال، از آنجا که آسیب‌پذیری مذکور از ۱۸ سال پیش تاکنون کشف نشده بود، احتمالاً هنوز مورد بهره‌برداری گسترده قرار نگرفته است.

پس از دسترسی به هسته‌ی سیستم، آسیب‌پذیری Sinkclose امکان نصب بدافزار Bootkit را فراهم می‌کند. این نوع بدافزار می‌تواند در مرحله‌ی بوت سیستم (قبل از بارگذاری سیستم‌عامل) یا حتی قبل از اجرای بایوس یا UEFI عمل کند. بدافزار بوت‌کیت به مهاجم این امکان را می‌دهد که احاطه‌ی کاملی بر سیستم قربانی داشته باشد، به اطلاعات حساس دسترسی پیدا کند و از دید آنتی‌ویروس‌ها پنهان بماند.

آسیب‌پذیری مذکور از ویژگی مبهمی در تراشه‌های AMD به نام TClose سوءاستفاده می‌کند که برای حفظ سازگاری با دستگاه‌های قدیمی طراحی شده است. با دستکاری ویژگی مذکور، محققان امنیتی توانستند پردازنده را به اجرای کد مورد نظر خود در سطح مدیریت سیستم هدایت کنند. این روش پیچیده است، اما کنترل عمیق و پایداری به هکرها ارائه می‌دهد.

محققان امنیتی معتقدند که هرچند بهره‌برداری از آسیب‌پذیری Sinkclose به دسترسی کرنل سیستم نیاز دارد، اما آسیب‌پذیری‌هایی در این سطح به‌طور مکرر در سیستم‌های ویندوزی و لینوکس کشف می‌شوند. پیش از این، آسیب‌پذیری مشابهی درمورد مدل‌های مختلف پردازنده اینتل کشف شد که فرم‌ور UEFI برخی از مادربردها را دچار باگ امنیتی مهمی می‌کرد.

برای پاک‌کردن بدافزار از کامپیوتر آلوده‌، لازم است که از طریق پروگرامر SPI Flash با بخش خاصی از حافظه‌ی آن ارتباط برقرار شود و سپس بدافزار از روی حافظه حذف گردد.

آسیب‌پذیری Sinkclose بر صدها میلیون کامپیوتر شخصی و سرور مبتنی‌بر پردازنده‌های AMD تأثیر می‌گذارد. پردازنده‌های سری Zen که ویژگی Secure Boot به‌درستی توسط سازندگان کامپیوتر یا تولیدکنندگان مادربرد در آن‌ها پیاده‌ نشده است، در معرض خطر بیشتری قرار دارند، زیرا تشخیص بدافزار در این حالت دشوارتر خواهد شد.

AMD آسیب‌پذیری مورد بحث را تأیید و راهکارهایی برای محصولات تحت‌تأثیر، از جمله پردازنده‌های دیتاسنتر EPYC و سری رایزن پیشنهاد کرده است. تاکنون به‌روزرسانی‌هایی برای برخی پردازنده‌ها منتشر شده‌اند و انتظار می‌رود به‌زودی پچ‌های امنیتی بیشتری ارائه شوند.

محققان هشدار داده‌اند که آسیب‌پذیری Sinkclose خطر قابل توجهی به‌همراه دارد و کاربران نباید در اجرای هرگونه اصلاح موجود برای محافظت از دستگاه‌های خود تأخیر کنند. بنابراین به‌روزرسانی‌ به‌موقع برای حفظ امنیت سیستم بسیار حیاتی است.