الملايين من أجهزة الكمبيوتر الشخصية تتأثر بخلل أمني خطير في المعالج، هل أنت متأثر؟

اكتشف باحثون أمنيون ثغرة أمنية خطيرة في معالجات AMD قد تسمح للمتسللين بتثبيت برامج ضارة لا يمكن اكتشافها فعليًا.

يسمى هذا "SinkClose".خلل جديد يؤثر على عدة أجيال من رقائق AMD، والتي يمكن أن تؤثر على ملايين الأجهزة حول العالم. تم اكتشاف الثغرة الأمنية، المدرجة رسميًا باسم CVE-2023-31315، من قبل الباحثين Enrique Nissim وKrzysztof Okupski من معهد IOActive. ما يجعل هذا الخلل مثيرًا للقلق بشكل خاص هو طول عمره:كان من الممكن أن تمر دون أن يلاحظها أحد لمدة عشرين عامًا تقريبًا، حتى أنها أثرت على معالجات AMD التي يعود تاريخها إلى عام 2006.

في جوهره، يستغل SinkClose نقطة ضعف في وضع إدارة النظام (SMM) لرقائق AMD. تعد SMM منطقة ذات امتيازات عالية في المعالج، وهي مخصصة عادةً لعمليات البرامج الثابتة الهامة، مثل إدارة الطاقة والتحكم الحراري وتهيئة الأجهزة. من خلال معالجة وظيفة تسمى TClose، يمكن للمهاجمين تجاوز الإجراءات الأمنية وتنفيذ التعليمات البرمجية الخاصة بهم على مستوى SMM.مما يمنحهم السيطرة الكاملة تقريبًا على النظام.

اقرأ أيضا-هذا الخلل يجعل جهاز الكمبيوتر الخاص بك ضعيفًا للغاية من خلال إعادة Windows إلى الوراء في الوقت المناسب

أجهزة الكمبيوتر الخاصة بك معرضة تمامًا للمتسللين بسبب SinkClose

من المحتمل أن تكون الآثار المترتبة على مشكلة عدم الحصانة هذه خطيرة. قد يكون من الصعب للغاية اكتشاف البرامج الضارة التي تم تثبيتها من خلال SinkClose وإزالتها. وفي أسوأ الحالات، قد يحتاجون إلى استبدال النظام بالكامل. والأمر الأكثر إثارة للقلق هو أنه إذا تم نقل المعالج المصاب إلى نظام جديد، فيمكن أن تنتشر البرامج الضارة،مما قد يؤدي إلى سلسلة من الأجهزة المخترقة.

أقرت AMD بالمشكلة وخصصت لها مستوى خطورة عاليًا مع درجة CVSS تبلغ 7.5.وكما هو الحال غالبًا، فقد أصدرت الشركة بالفعل تصحيحاتلمنتجات مركز بيانات EPYC وأحدث شرائح Ryzen لأجهزة الكمبيوتر، ويجري حاليًا اتخاذ تدابير تخفيف إضافية للأنظمة المدمجة. لكن،لن تتلقى بعض خطوط الإنتاج القديمة، بما في ذلك سلسلة Ryzen 1000 و2000 و3000، بالإضافة إلى Threadripper 1000 و2000، تحديثاتلأنها تقع خارج نافذة دعم برامج AMD. إذا كان لديك جهاز كمبيوتر مزود بأحد هذه المعالجات، فمن الممكن أن يصبح هدفًا للمتسللين.

هل SinkClose ثغرة أمنية مستغلة بشكل نشط؟

من المهم ملاحظة أن تشغيل SinkClose ليس بالمهمة السهلة. يجب أن يحصل المهاجمون أولاً على إمكانية الوصول على مستوى kernel (Ring 0) إلى النظام قبل أن يتمكنوا من استغلال هذه الثغرة الأمنية لتصعيد امتيازاتهم إلى Ring -2.تشبه AMD هذا بالوصول إلى خزائن البنك بعد تجاوز أجهزة الإنذار والحراس وباب الخزانة.

ومع ذلك، يحذر خبراء أمنيون من الاستهانة بالتهديد. على الرغم من أن الثغرات الأمنية على مستوى النواة ليست شائعة، إلا أنها ليست نادرة في الهجمات المتطورة. من المعروف أن مجموعات التهديد المستمر المتقدم (APT) وعصابات برامج الفدية تستخدم تقنيات مختلفة للحصول على هذا الوصول،بما في ذلك استغلال برامج التشغيل الضعيفة أو ثغرات Windows Zero-day.

يمكن أن تكون عواقب هجوم SinkClose الناجح كارثية. بمجرد تثبيت البرامج الضارة على هذا المستوى، تصبح غير مرئية تقريبًا لأدوات الأمان التقليدية. قال Krzysztof Okupski، الباحث الأمني، لـ Wired إن الطريقة الوحيدة لاكتشاف هذه البرامج الضارة وإزالتها هي الاتصال فعليًا بوحدة المعالجة المركزية باستخدام أداة متخصصة تسمى مبرمج SPI Flash والمسح يدويًا.

بالنسبة للمستخدمين، قد تكون المخاطر المباشرة منخفضة بسبب تعقيد المهمة. ومع ذلك، فإن احتمال سرقة البيانات أو الاستيلاء على النظام أو حتى التجسس يجعل هذه الثغرة الأمنيةمصدر قلق كبير للحكومات والمنظمات الكبيرة والأشخاص الذين يتعاملون مع المعلومات الحساسة.

للحماية من SinkClose، يجب على المستخدمين تثبيت التصحيحات المتوفرة من AMD والشركات المصنعة لأنظمتها على الفور. ومن الضروري الحصول على هذه التحديثات من المصادر الرسمية فقط لتجنب أي مخاطر أمنية.