AMD 无法修补的漏洞：Sinkclose，或导致数百万美元损失

IOActive 的研究人员发现了AMD 处理器中存在一个严重漏洞，该漏洞已存在数十年。该漏洞名为 Sinkclose，攻击者可以利用该漏洞侵入计算机最安全的部分，而且修复该漏洞几乎是不可能的。专家警告称，该问题几乎影响所有 AMD 处理器，最早可追溯到 2006 年，甚至更早。

在 Defcon 大会上，专家 Enrique Nissim 和 Krzysztof Okupski介绍了此漏洞的细节。它允许黑客在 AMD 处理器的高特权模式下执行代码，该模式仅针对其固件的受保护部分。这为创建能够嵌入系统深处且即使在重新安装操作系统后仍无法被发现的恶意软件打开了大门。

要利用此漏洞，攻击者需要获得操作系统内核的访问权限。一旦获得访问权限，他们就可以安装所谓的“bootkit”——防病毒程序无法检测到的恶意软件。该软件可以完全控制计算机，即使重新启动后仍会继续存在。此外，在安全配置不正确的情况下（据研究人员称，他们测试的大多数系统中都存在这种情况），删除此类恶意软件几乎是不可能的。

Okupski 强调，即使格式化硬盘也无法消除这种威胁：“即使你完全擦除磁盘，恶意软件仍会残留。它几乎无法检测，而且几乎无法摧毁。” 删除此类软件的唯一方法是物理拆卸计算机外壳并使用专用设备清理内存。

AMD 承认了这一漏洞的存在，并感谢研究人员所做的工作。该公司已经发布了针对部分产品的修复程序，包括 EPYC 和 Ryzen 系列处理器，并计划很快为其他 CPU 系列发布更新。然而，目前尚不清楚 AMD 打算如何完全弥补这一漏洞，也不清楚何时能实现。

研究人员指出，尽管利用此漏洞面临挑战，但熟练的黑客，特别是得到国家支持的黑客，可能已经拥有利用该漏洞的必要工具。

针对该漏洞的补丁将通过操作系统更新进行分发。强烈建议用户在补丁发布后尽快安装，以防范潜在的攻击。

与此同时，AMD 已更新其安全公告页面，其中包含受 Sinkclose 漏洞影响的芯片列表。

相关链接：

https://ioactive.com/event/def-con-talk-amd-sinkclose-universal-ring-2-privilege-escalation/

https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7014.html

https://info.defcon.org/event/?id=54863

原文始发于微信公众号（独眼情报）：AMD 无法修补的漏洞：Sinkclose，或导致数百万美元损失