Pesquisadores da IOActive descobriram uma vulnerabilidade crítica nos processadores AMD que permite que hackers introduzam malware virtualmente desinstalável. O problema afeta milhões de computadores e servidores em todo o mundo, relata a Wired.
Fonte da imagem: Blake Connally/Unsplash
Uma vulnerabilidade chamada Sinkclose foi descoberta no modo de gerenciamento de sistema (SMM) dos processadores AMD. Este modo possui privilégios elevados e foi projetado para executar funções críticas do sistema. Os invasores podem usar o Sinkclose para injetar código malicioso nas camadas mais profundas do firmware, alterando a configuração do SMM, tornando quase impossível detectá-lo e removê-lo.
Enrique Nissim e Krzysztof Okupski da IOActive, que descobriram a vulnerabilidade, planejam falar sobre isso em detalhes na conferência de hackers Defcon amanhã. Segundo eles, o Sinkclose afeta quase todos os processadores AMD lançados desde 2006, e possivelmente antes.
Os pesquisadores alertam que os hackers precisariam de um certo nível de acesso a um computador ou servidor baseado em AMD para explorar a vulnerabilidade, mas o Sinkclose lhes daria a capacidade de injetar códigos maliciosos ainda mais profundos. Na maioria dos sistemas testados em que o recurso de segurança Platform Secure Boot não está implementado corretamente, será quase impossível detectar e eliminar um vírus instalado por meio do Sinkclose, mesmo após a reinstalação do sistema operacional.
«Imagine que hackers de agências de inteligência ou de outra pessoa queiram entrar no seu sistema. Mesmo se você limpar completamente o disco rígido, o vírus ainda permanecerá”, diz Okupski. Segundo ele, a única maneira de remover esse vírus é conectar-se fisicamente à memória do computador por meio de um programador SPI Flash e fazer uma varredura cuidadosa. “O pior cenário é simplesmente jogar o computador fora”, resume Nissim.
Em comunicado à Wired, a AMD confirmou a descoberta do IOActive, agradecendo aos pesquisadores e dizendo que já lançou patches para processadores EPYC e Ryzen, e patches para sistemas embarcados serão lançados em breve. No entanto, a AMD não divulgou detalhes sobre como exatamente a vulnerabilidade Sinkclose será corrigida e para quais dispositivos.
Ao mesmo tempo, a AMD enfatiza a dificuldade de explorar esta vulnerabilidade, pois para explorá-la o invasor deve ter acesso ao kernel do sistema operacional. No entanto, Nissim e Okupski argumentam que, para hackers experientes, obter esse acesso não é um problema, graças ao aparecimento regular de bugs no Windows e no Linux.
Os pesquisadores alertam que após a apresentação na Defcon, embora os detalhes da exploração não sejam publicados, hackers experientes poderão adivinhar como a tecnologia funciona, por isso os usuários são aconselhados a instalar os patches da AMD assim que estiverem disponíveis.