Dalam pernyataan latar belakang kepada WIRED, AMD menekankan kesulitan mengeksploitasi Sinkclose: Untuk memanfaatkan kerentanan tersebut, seorang peretas harus memiliki akses ke kernel komputer, inti dari sistem operasinya. AMD membandingkan teknik Sinkhole dengan metode untuk mengakses kotak penyimpanan aman bank setelah berhasil melewati alarm, penjaga, dan pintu brankas.
Nissim dan Okupski menanggapi bahwa meskipun mengeksploitasi Sinkclose memerlukan akses tingkat kernel ke sebuah mesin, kerentanan tersebut terekspos di Windows dan Linux hampir setiap bulan. Mereka berpendapat bahwa peretas canggih yang disponsori negara seperti yang mungkin memanfaatkan Sinkclose kemungkinan sudah memiliki teknik untuk mengeksploitasi kerentanan tersebut, baik yang diketahui maupun tidak. “Saat ini orang-orang memiliki eksploitasi kernel untuk semua sistem ini,” kata Nissim. “Mereka ada dan tersedia untuk penyerang. Ini adalah langkah selanjutnya.”
Peneliti IOActive Krzysztof Okupski (kiri) dan Enrique Nissim.Foto: Roger Kisby
Teknik Sinkclose milik Nissim dan Okupski bekerja dengan memanfaatkan fitur chip AMD yang tidak dikenal yang dikenal sebagai TClose. (Nama Sinkclose, sebenarnya, berasal dari penggabungan istilah TClose dengan Sinkhole, nama eksploitasi System Management Mode sebelumnya yang ditemukan dalam chip Intel pada tahun 2015.) Pada mesin berbasis AMD, pengaman yang dikenal sebagai TSeg mencegah sistem operasi komputer menulis ke bagian memori yang dilindungi yang dimaksudkan untuk dicadangkan bagi System Management Mode yang dikenal sebagai System Management Random Access Memory atau SMRAM. Namun, fitur TClose AMD dirancang untuk memungkinkan komputer tetap kompatibel dengan perangkat lama yang menggunakan alamat memori yang sama dengan SMRAM, memetakan ulang memori lain ke alamat SMRAM tersebut saat diaktifkan. Nissim dan Okupski menemukan bahwa, hanya dengan tingkat hak istimewa sistem operasi, mereka dapat menggunakan fitur pemetaan ulang TClose untuk mengelabui kode SMM agar mengambil data yang telah mereka ubah, dengan cara yang memungkinkan mereka untuk mengarahkan ulang prosesor dan menyebabkannya mengeksekusi kode mereka sendiri pada tingkat SMM istimewa yang sama.
“Saya pikir ini adalah bug paling rumit yang pernah saya eksploitasi,” kata Okupski.
Nissim dan Okupski, yang keduanya mengkhususkan diri dalam keamanan kode tingkat rendah seperti firmware prosesor, mengatakan bahwa mereka pertama kali memutuskan untuk menyelidiki arsitektur AMD dua tahun lalu, hanya karena mereka merasa arsitektur itu belum mendapat cukup pengawasan dibandingkan dengan Intel, bahkan ketika pangsa pasarnya meningkat. Mereka menemukan kasus tepi TClose kritis yang mengaktifkan Sinkclose, kata mereka, hanya dengan membaca dan membaca ulang dokumentasi AMD. “Saya pikir saya membaca halaman tempat kerentanan itu sekitar seribu kali,” kata Nissim. “Dan kemudian pada tanggal seribu satu, saya menyadarinya.” Mereka memberi tahu AMD tentang kelemahan itu pada bulan Oktober tahun lalu, kata mereka, tetapi telah menunggu hampir 10 bulan untuk memberi AMD lebih banyak waktu untuk mempersiapkan perbaikan.
Bagi pengguna yang ingin melindungi diri mereka sendiri, Nissim dan Okupski mengatakan bahwa untuk komputer Windows—yang kemungkinan besar merupakan mayoritas sistem yang terpengaruh—mereka berharap patch untuk Sinkclose dapat diintegrasikan ke dalam pembaruan yang dibagikan oleh produsen komputer dengan Microsoft, yang akan memasukkannya ke dalam pembaruan sistem operasi mendatang. Patch untuk server, sistem tertanam, dan komputer Linux mungkin lebih bersifat parsial dan manual; untuk komputer Linux, patch akan bergantung sebagian pada distribusi Linux yang telah diinstal komputer.
Nissim dan Okupski mengatakan mereka sepakat dengan AMD untuk tidak menerbitkan kode bukti konsep apa pun untuk eksploitasi Sinkclose mereka selama beberapa bulan mendatang, untuk memberi lebih banyak waktu agar masalah tersebut dapat diperbaiki. Namun mereka berpendapat bahwa, meskipun ada upaya oleh AMD atau pihak lain untuk meremehkan Sinkclose karena terlalu sulit untuk dieksploitasi, hal itu seharusnya tidak menghalangi pengguna untuk melakukan patch sesegera mungkin. Peretas yang canggih mungkin telah menemukan teknik mereka—atau mungkin menemukan cara untuk melakukannya setelah Nissim dan Okupski mempresentasikan temuan mereka di Defcon.
Bahkan jika Sinkclose memerlukan akses yang relatif mendalam, para peneliti IOActive memperingatkan, tingkat kontrol yang jauh lebih mendalam yang ditawarkannya berarti bahwa target potensial tidak boleh menunggu untuk menerapkan perbaikan apa pun yang tersedia. “Jika fondasinya rusak,” kata Nissim, “maka keamanan untuk seluruh sistem akan rusak.”
Diperbarui pukul 9 pagi ET, 8/9/2024: Setelah artikel ini dipublikasikan, AMD memperbarui halaman buletin keamanannya untuk menyertakan daftar chip terpengaruh oleh Sinkclose.
