セキュリティ研究者は、ハッカーが事実上検出不可能なマルウェアをインストールする可能性がある深刻な脆弱性を AMD プロセッサに発見しました。
これは「SinkClose」と呼ばれ、新しい欠陥は数世代の AMD チップに影響を与える、世界中の何百万ものデバイスに影響を与える可能性があります。公式には CVE-2023-31315 としてリストされているこの脆弱性は、IOActive Institute の研究者 Enrique Nissim 氏と Krzysztof Okupski 氏によって発見されました。この欠陥が特に懸念されるのは、その寿命が長いことです。それはほぼ 20 年間気付かれず、2006 年以降の AMD プロセッサにさえ影響を及ぼしていたでしょう。
SinkClose の核心は、AMD チップのシステム管理モード (SMM) の弱点を悪用します。 SMM はプロセッサーの高度な特権領域であり、通常、電源管理、温度制御、ハードウェアの初期化などの重要なファームウェア操作のために予約されています。攻撃者は、TClose と呼ばれる関数を操作することで、セキュリティ対策を回避し、SMM レベルで独自のコードを実行できます。これにより、システムをほぼ完全に制御できるようになります。
こちらもお読みください–この欠陥により、Windows が過去に戻ってしまい、PC が非常に脆弱になります。
SinkClose のせいで、あなたのコンピュータは完全にハッカーにさらされています
この脆弱性の影響は潜在的に深刻です。 SinkClose を通じてインストールされたマルウェアは、検出して削除することが非常に難しい場合があります。最悪の場合、システムの完全な交換が必要になる場合があります。さらに心配なのは、感染したプロセッサが新しいシステムに移された場合、マルウェアが拡散する可能性があることです。潜在的にデバイスの侵害の連鎖につながる可能性があります。
AMD はこの問題を認識しており、CVSS スコア 7.5 の高い重大度レベルを割り当てています。よくあることですが、同社はすでにパッチをリリースしていますEPYC データセンター製品と PC 用の最新 Ryzen チップに対する影響があり、組み込みシステムに対する追加の緩和策が進行中です。しかし、Ryzen 1000、2000、3000 シリーズや Threadripper 1000 および 2000 などの一部の古い製品ラインはアップデートを受け取りません。、これらは AMD のソフトウェア サポート期間の範囲外にあるためです。これらのプロセッサのいずれかを搭載した PC をお持ちの場合、ハッカーの標的になる可能性があります。
SinkClose は積極的に悪用されている脆弱性ですか?
SinkClose の操作は簡単な作業ではないことに注意することが重要です。攻撃者がこの脆弱性を悪用して特権をリング -2 に昇格するには、まずシステムへのカーネル レベル (リング 0) のアクセスを取得する必要があります。AMDはこれを、警報機、警備員、金庫室の扉を迂回して銀行の金庫室にアクセスすることに例えている。
ただし、セキュリティの専門家は、脅威を過小評価しないように警告しています。カーネル レベルの脆弱性は一般的ではありませんが、高度な攻撃では決して珍しいことではありません。 Advanced Persistent Threat (APT) グループとランサムウェア ギャングは、さまざまな手法を使用してそのようなアクセスを取得することが知られています。これには、脆弱なドライバーや Windows のゼロデイ脆弱性の悪用が含まれます。
SinkClose 攻撃が成功すると、悲惨な結果が生じる可能性があります。マルウェアがこのレベルでインストールされると、従来のセキュリティ ツールではほとんど見えなくなります。セキュリティ研究者のクシシュトフ・オクプスキ氏はWiredに対し、このマルウェアを検出して削除する唯一の方法は、SPIフラッシュプログラマーと呼ばれる特殊なツールを使用してCPUに物理的に接続し、手動でスキャンすることだと語った。
ユーザーにとっては、タスクが複雑であるため、差し迫ったリスクは低い可能性があります。ただし、データの盗難、システムの乗っ取り、さらにはスパイ行為の可能性があるため、この脆弱性は生じます。これは政府、大規模組織、機密情報を扱う人々にとって重大な懸念です。
SinkClose から保護するには、ユーザーは AMD およびそのシステム メーカーから入手可能なパッチを速やかにインストールする必要があります。セキュリティ上のリスクを避けるために、これらのアップデートは公式ソースからのみ入手することが重要です。
