Zowat alle AMD-processors gelanceerd sinds 2006 zijn kwetsbaar voor een bug. Uitbuiten is moeilijk en vereist kernel-toegang, maar heeft een grote impact. AMD zal enkel ondersteunde processors van een patch voorzien, maar geen enkele Epyc-chip valt uit de boot.
AMD-processors zijn vatbaar voor een bug die al achttien jaar onder de radar bestaat, maar gelukkig nog nooit werd misbruikt. De bug kreeg de naam Sinkclose mee, en laat aanvallers toe zich zo diep te nestelen in een geïnfecteerde computer of server, dat zelfs een volledige reset en herinstallatie van Windows geen oplossing biedt.
De bug misbruikt de System Management Mode (SMM) van de CPU. Dat is een regio waar normaal niemand toegang tot heeft, en die exclusief dient om kritieke firmware-code te draaien. Een aanvaller die zich al naar binnen gewerkt heeft in een systeem, moet vervolgens kernel-toegang krijgen. Dat is geen eenvoudige klus, want de aanwezige beveiliging op een systeem zal dat met alle macht proberen te detecteren en te voorkomen.
Lukt het toch om via een omweg die kernel-toegang te krijgen, dan kan de hacker zich in de SMM worstelen en een bootkit installeren die klassieke antivirusprogramma’s niet zullen detecteren. Sterker: de malware is quasi onzichtbaar en blijft aanwezig op de getroffen computer of server, zelfs na de herinstallatie van het OS.
Hardwarematige desinfectie
De malware verwijderen, gaat niet via software alleen. Om een systeem te desinfecteren, moeten specialisten het toestel openmaken en een bepaald deel van het geheugen met een extern toestel inspecteren. In de praktijk kan het zeker voor oudere toestellen interessanter zijn om de computer af te schrijven.
lees ook
AMD stelt lancering Ryzen 9000 uit tot augustus
De onderzoekers die het probleem ontdekten, hebben AMD tien maanden de tijd gegeven om een patch te ontwikkelen. Dat heeft de fabrikant ook gedaan: updates zijn beschikbaar voor alle recente platformen, waaronder zowel Ryzen als Epyc. AMD voorziet een overzicht van getroffen systemen en de firmware die nodig is om het lek dicht te timmeren.
Geen patch voor alle chips
De processorontwerper is niet van plan om oudere chips van een update te voorzien. Ryzen 1000, 1000 en 3000, net als Threadripper 1000 en 2000, zullen geen update krijgen. Die chips vallen omwille van hun leeftijd buiten de voorziene ondersteuningstermijn. De processors drijven computers en workstations aan, en zijn zo minder vatbaar. Een aanval om de bug te misbruiken, is dusdanig complex dat een gewone gebruiker zich niet echt zorgen hoeft te maken.
Alle Epyc-datacenterprocessors krijgen wel een patch, net als alle Ryzen Embedded-systemen. Die chips ondersteunen immers kritiekere systemen die wel permanent online zijn. In ieder geval is het verstandig om updates van AMD zo snel mogelijk te installeren.