'Sinkclose' adalah nama dari sebuah galaksi besar yang baru-baru ini ditemukan keamanan Kerentanan ini memengaruhi hampir semua prosesor AMD yang dirilis sejak 2006. Cacat ini memungkinkan penyerang menyusup ke dalam sistem, sehingga sangat sulit untuk mendeteksi atau menghapus perangkat lunak berbahaya. Masalahnya sangat parah sehingga, dalam beberapa kasus, mungkin lebih mudah untuk meninggalkan mesin yang terinfeksi daripada memperbaikinya, lapor Berkabel.
Namun, ada kabar baik: karena belum ditemukan selama 18 tahun, kemungkinan besar belum digunakan. Selain itu, AMD menambal platformnya untuk melindunginya, meskipun belum semua prosesor yang terkena dampak telah menerima patch.
Sinkclose menghindari antivirus dan tetap ada bahkan setelah instalasi ulang OS
Kerentanan Sinkclose memungkinkan peretas untuk mengeksekusi kode dalam System Management Mode (SMM) prosesor AMD, area dengan hak istimewa tinggi yang biasanya disediakan untuk operasi firmware penting. Untuk mengeksploitasi kelemahan ini, penyerang harus terlebih dahulu mendapatkan akses ke kernel sistem, yang tidak mudah, tetapi mungkin saja. Namun, sistem tersebut pasti telah disusupi oleh beberapa serangan lain.
Setelah akses ini diamankan, kerentanan Sinkclose memungkinkan pelaku untuk menginstal malware bootkit yang menghindari deteksi oleh alat antivirus standar, sehingga hampir tidak terlihat dalam sistem dan dapat tetap ada bahkan setelah sistem operasi diinstal ulang.
Kerentanan tersebut memanfaatkan fitur ambigu dalam chip AMD yang dikenal sebagai TClose, yang dimaksudkan untuk menjaga kompatibilitas dengan perangkat lama. Dengan memanipulasi fitur ini, para peneliti dapat mengarahkan ulang prosesor untuk menjalankan kode mereka sendiri di tingkat SMM. Metode ini rumit tetapi memberi penyerang kontrol yang mendalam dan terus-menerus atas sistem.
Peneliti keamanan Enrique Nissim dan Krzysztof Okupski dari IOActive mengidentifikasi kerentanan Sinkclose. Mereka akan mempresentasikannya di konferensi Defcon besok.
“Untuk memanfaatkan kerentanan ini, seorang hacker harus sudah memiliki akses ke kernel komputer, inti dari sistem operasinya,” pernyataan AMD yang dikeluarkan kepada Berkabel AMD mengibaratkan teknik Sinkhole seperti mendapatkan akses ke kotak penyimpanan aman bank setelah berhasil melewati alarm, penjaga, dan pintu brankas.
Nissim dan Okupski menunjukkan bahwa meskipun eksploitasi Sinkclose memerlukan akses tingkat kernel, kerentanan pada tingkat ini sering ditemukan dalam sistem Windows dan Linux. Mereka menyarankan bahwa peretas canggih yang disponsori negara kemungkinan sudah memiliki alat untuk mengeksploitasi kerentanan semacam ini. Menurut para peneliti, eksploitasi kernel sudah tersedia, menjadikan Sinkclose langkah selanjutnya bagi para penyerang. Untuk menghapus malware, seseorang perlu membuka komputer, menghubungkan ke bagian tertentu dari memorinya menggunakan programmer SPI Flash, memeriksa memori dengan saksama, lalu menghapus malware.
Berdampak pada berbagai CPU AMD
Cacat Sinkclose memengaruhi berbagai prosesor AMD yang digunakan di PC klien, server, dan sistem tertanam. Sayangnya, prosesor berbasis Zen terbaru AMD dengan fitur Secure Boot platform yang tidak diterapkan dengan benar oleh produsen komputer atau produsen motherboard sangat rentan dalam artian lebih sulit mendeteksi malware yang terpasang di enklave aman AMD.
Para peneliti menunggu selama 10 bulan sebelum mengungkapkan kerentanan tersebut untuk memberi AMD lebih banyak waktu untuk mengatasinya. AMD telah mengakui kerentanan tersebut dan mulai merilis opsi mitigasi untuk produk yang terkena dampaktermasuk pusat data EPYC dan prosesor Ryzen PC. Patch untuk beberapa produk telah dikeluarkan, dan patch lainnya diharapkan segera dirilis. Namun, AMD belum mengungkapkan bagaimana cara mengatasi kerentanan di semua perangkat yang terpengaruh.
Para peneliti memperingatkan bahwa kerentanan tersebut merupakan risiko yang signifikan, dan pengguna tidak boleh menunda penerapan perbaikan yang tersedia untuk melindungi sistem mereka. Nissim dan Okupski menekankan pentingnya menerapkan patch ini segera setelah tersedia, meskipun ada kesulitan dalam mengeksploitasi 'pintu belakang'. Mereka berpendapat bahwa peretas canggih yang disponsori negara mungkin sudah memiliki cara untuk mengeksploitasi kerentanan ini, sehingga pembaruan tepat waktu menjadi penting untuk menjaga keamanan sistem.