AMD memperingatkan tentang kerentanan CPU tingkat tinggi bernama SinkClose yang memengaruhi beberapa generasi prosesor EPYC, Ryzen, dan Threadripper. Kerentanan ini memungkinkan penyerang dengan hak istimewa tingkat Kernel (Ring 0) untuk mendapatkan hak istimewa Ring -2 dan menginstal malware yang hampir tidak terdeteksi.
Ring -2 adalah salah satu tingkat hak istimewa tertinggi pada komputer, berjalan di atas Ring -1 (digunakan untuk hypervisor dan virtualisasi CPU) dan Ring 0, yang merupakan tingkat hak istimewa yang digunakan oleh Kernel sistem operasi.
Tingkat hak istimewa Ring -2 dikaitkan dengan fitur System Management Mode (SMM) CPU modern. SMM menangani manajemen daya, kontrol perangkat keras, keamanan, dan operasi tingkat rendah lainnya yang diperlukan untuk stabilitas sistem.
Karena tingkat hak istimewa yang tinggi, SMM diisolasi dari sistem operasi untuk mencegahnya menjadi sasaran pelaku ancaman dan malware dengan mudah.
Cacat CPU SinkClose
Dilacak sebagai CVE-2023-31315 dan diberi peringkat tingkat keparahan tinggi (skor CVSS: 7,5), kelemahan tersebut ditemukan oleh IOActive Enrique Nissim dan Krzysztof Okupski, yang menamakan serangan peningkatan hak istimewa 'Sinkclose.'
Rincian lengkap tentang serangan ini akan disajikan oleh para peneliti besok dalam pembicaraan DefCon berjudul “AMD Sinkclose: Eskalasi Hak Istimewa Universal Ring-2“.”
Para peneliti melaporkan bahwa Sinkclose telah berlalu tanpa terdeteksi selama hampir 20 tahun, yang memengaruhi berbagai model chip AMD.
Cacat SinkClose memungkinkan penyerang dengan akses tingkat Kernel (Ring 0) untuk mengubah pengaturan System Management Mode (SMM), bahkan saat SMM Lock diaktifkan. Cacat ini dapat digunakan untuk menonaktifkan fitur keamanan dan menanamkan malware yang persisten dan hampir tidak terdeteksi pada perangkat.
Ring -2 terisolasi dan tidak terlihat oleh OS dan hypervisor, jadi modifikasi berbahaya apa pun yang dilakukan pada level ini tidak dapat terdeteksi atau diperbaiki oleh peralatan keamanan yang berjalan di OS.
Okupski mengatakan pada Wired bahwa satu-satunya cara untuk mendeteksi dan menghapus malware yang diinstal menggunakan SinkClose adalah dengan menghubungkannya secara fisik ke CPU menggunakan alat yang disebut programmer SPI Flash dan memindai memori untuk mencari malware.
Menurut penasihat AMD, model-model berikut terpengaruh:
- EPYC generasi ke-1, ke-2, ke-3, dan ke-4
- EPYC Embedded 3000, 7002, 7003, dan 9003, R1000, R2000, 5000, dan 7000
- Ryzen Embedded V1000, V2000, dan V3000
- Seri Ryzen 3000, 5000, 4000, 7000, dan 8000
- Seri Ryzen 3000 Mobile, 5000 Mobile, 4000 Mobile, dan 7000 Mobile
- Seri Ryzen Threadripper 3000 dan 7000
- AMD Threadripper PRO (Castle Peak WS SP3, Chagall WS)
- AMD Athlon seri 3000 Seluler (Dali, Pollock)
- AMD Instinct MI300A
AMD dinyatakan dalam nasihatnya bahwa perusahaan telah merilis mitigasi untuk CPU desktop dan seluler EPYC dan AMD Ryzen, dengan perbaikan lebih lanjut untuk CPU tertanam yang akan segera hadir.
Implikasi dan respon nyata
Akses tingkat kernel merupakan prasyarat untuk melakukan serangan Sinkclose. AMD mencatat hal ini dalam sebuah pernyataan kepada Wired, yang menjadi dasar kesulitan dalam mengeksploitasi CVE-2023-31315 dalam skenario dunia nyata.
Namun, IOActive menanggapi dengan mengatakan bahwa kerentanan tingkat kernel, meskipun tidak tersebar luas, pasti tidak jarang terjadi dalam serangan canggih, yang benar berdasarkan serangan sebelumnya yang dicakup oleh BleepingComputer.
Aktor Advanced Persistent Threat (APT), seperti kelompok Lazarus Korea Utara, telah menggunakan BYOVD (Bring Your Own Vulnerable Driver) teknik atau bahkan memanfaatkan kelemahan Windows zero-dayuntuk meningkatkan hak istimewa mereka dan memperoleh akses tingkat kernel.
Geng ransomware juga menggunakan taktik BYOVD, dengan menggunakan alat pembunuh EDR khusus mereka menjualnya ke penjahat dunia maya lainnya untuk mendapatkan keuntungan tambahan.
Spesialis rekayasa sosial yang terkenal Laba-laba yang Tersebar juga terlihat memanfaatkan BYOVD untuk mematikan produk keamanan.
Serangan ini dapat dilakukan melalui berbagai alat, mulai dari Driver yang ditandatangani MicrosoftBahasa Indonesia: driver anti virus, Driver grafis MSIBahasa Indonesia: driver OEM yang bermasalahdan bahkan alat anti-cheat game yang menikmati akses tingkat kernel.
Meski begitu, Sinkclose dapat menimbulkan ancaman signifikan terhadap organisasi yang menggunakan sistem berbasis AMD, terutama dari aktor ancaman canggih dan disponsori negara, dan tidak boleh diabaikan.
