.
Em uma declaração de fundo para a WIRED, a AMD enfatizou a dificuldade de explorar o Sinkclose: para tirar vantagem da vulnerabilidade, um hacker já tem que possuir acesso ao kernel de um computador, o núcleo do seu sistema operacional. A AMD compara a técnica Sinkhole a um método para acessar os cofres de um banco depois de já ter ignorado seus alarmes, os guardas e a porta do cofre.
Nissim e Okupski respondem que, embora a exploração do Sinkclose exija acesso em nível de kernel a uma máquina, tais vulnerabilidades são expostas no Windows e no Linux praticamente todo mês. Eles argumentam que hackers sofisticados patrocinados pelo estado do tipo que podem tirar vantagem do Sinkclose provavelmente já possuem técnicas para explorar essas vulnerabilidades, conhecidas ou desconhecidas. “As pessoas têm explorações de kernel agora mesmo para todos esses sistemas”, diz Nissim. “Elas existem e estão disponíveis para os invasores. Este é o próximo passo.”
Pesquisadores do IOActive Krzysztof Okupski (à esquerda) e Enrique Nissim.Fotografia: Roger Kisby
A técnica Sinkclose de Nissim e Okupski funciona explorando um recurso obscuro dos chips AMD conhecido como TClose. (O nome Sinkclose, na verdade, vem da combinação do termo TClose com Sinkhole, o nome de um exploit anterior do Modo de Gerenciamento de Sistema encontrado em chips Intel em 2015.) Em máquinas baseadas em AMD, uma proteção conhecida como TSeg impede que os sistemas operacionais do computador gravem em uma parte protegida da memória destinada a ser reservada para o Modo de Gerenciamento de Sistema conhecido como Memória de Acesso Aleatório de Gerenciamento de Sistema ou SMRAM. O recurso TClose da AMD, no entanto, é projetado para permitir que os computadores permaneçam compatíveis com dispositivos mais antigos que usam os mesmos endereços de memória que SMRAM, remapeando outras memórias para esses endereços SMRAM quando ele está habilitado. Nissim e Okupski descobriram que, com apenas o nível de privilégios do sistema operacional, eles poderiam usar o recurso de remapeamento TClose para enganar o código SMM e fazê-lo buscar dados que eles adulteraram, de uma forma que lhes permite redirecionar o processador e fazer com que ele execute seu próprio código no mesmo nível SMM altamente privilegiado.
“Acho que é o bug mais complexo que já explorei”, diz Okupski.
Nissim e Okupski, ambos especialistas em segurança de código de baixo nível como firmware de processador, dizem que decidiram investigar a arquitetura da AMD pela primeira vez há dois anos, simplesmente porque sentiram que ela não tinha recebido escrutínio suficiente em comparação à Intel, mesmo com sua participação de mercado aumentando. Eles encontraram o caso crítico de ponta TClose que habilitou o Sinkclose, eles dizem, apenas lendo e relendo a documentação da AMD. “Acho que li a página onde a vulnerabilidade estava cerca de mil vezes”, diz Nissim. “E então em mil e uma, eu percebi.” Eles alertaram a AMD sobre a falha em outubro do ano passado, eles dizem, mas esperaram quase 10 meses para dar à AMD mais tempo para preparar uma correção.
Para usuários que buscam se proteger, Nissim e Okupski dizem que para máquinas Windows — provavelmente a grande maioria dos sistemas afetados — eles esperam que patches para Sinkclose sejam integrados em atualizações compartilhadas por fabricantes de computadores com a Microsoft, que os implementará em futuras atualizações do sistema operacional. Patches para servidores, sistemas embarcados e máquinas Linux podem ser mais fragmentados e manuais; para máquinas Linux, dependerá em parte da distribuição do Linux que um computador instalou.
Nissim e Okupski dizem que concordaram com a AMD em não publicar nenhum código de prova de conceito para seu exploit Sinkclose por vários meses, a fim de dar mais tempo para que o problema seja corrigido. Mas eles argumentam que, apesar de qualquer tentativa da AMD ou de outros de minimizar o Sinkclose como muito difícil de explorar, isso não deve impedir os usuários de aplicar patches o mais rápido possível. Hackers sofisticados podem já ter descoberto sua técnica — ou podem descobrir como depois que Nissim e Okupski apresentarem suas descobertas na Defcon.
Mesmo que o Sinkclose exija acesso relativamente profundo, os pesquisadores da IOActive alertam, o nível muito mais profundo de controle que ele oferece significa que alvos em potencial não devem esperar para implementar qualquer correção disponível. “Se a fundação estiver quebrada”, diz Nissim, “então a segurança de todo o sistema está quebrada”.
.
