Na conferência DEF COM Hacking, que se realizou na semana passada em Las Vegas, investigadores da empresa de segurança IOActive revelaram uma vulnerabilidade em processadores da AMD, a qual chamaram de Sinkclose. A vulnerabilidade pode ser explorada num bug no firmware dos chips da AMD, disponíveis em centenas de milhões de computadores e servidores. Os investigadores dizem que esta vulnerabilidade persistiu nos processadores da fabricante durante décadas.

A vulnerabilidade permite malware de ser escondido bem fundo na memória de um computador. E os investigadores dizem que se tal acontecer, é mais fácil descartar a máquina, do que simplesmente desinfetá-la, como aponta a Wired. A falha permite aos hackers correr o seu próprio código em um dos modos mais privilegiados do processador AMD, o System Management Mode. Este é reservado a apenas uma porção específica e protegida do seu firmware. Os investigadores datam que esta vulnerabilidade afeta virtualmente quaisquer chips da AMD lançados desde 2006, ou eventualmente ainda mais cedo.

Apesar de ser uma vulnerabilidade grave esta não é fácil de explorar e segundo os investigadores seriam preciso que os hackers já tivessem obtido acesso relativamente profundo a um PC ou servidor baseado em chios AMD. Caso esse cenário aconteça, os hackers podiam infetar o computador com um malware conhecido como Bootkit que invade as ferramentas antivírus, sendo potencialmente invisível ao sistema operativo, dando acesso à máquina e à monitorização de atividade.

A infeção Sinkclose poderá ser difícil de detetar e remediar, mesmo numa situação em que se reinstala o sistema operativo este pode permanecer. Seria necessário abrir a caixa do PC e conectar fisicamente a uma porção de memórias dos chips com uma ferramenta de programação chamada SPI Flash, limpando a memória. É como fazer uma cirurgia para remover o malware, em que nos piores casos os investigadores dizem que mais vale meter o PC no lixo.

Contactada pela Wired, a AMD já tem conhecimento da descoberta da IOActive e lançou opções para mitigar os seus produtos de centros de dados AMD EPYC e AMD Ryzen para PC. Outros produtos vão receber atualização em breve, nomeadamente equipamentos industriais e automóveis. Todos os produtos afetados já foram listados pela própria fabricante.

A AMD reforça a opinião dos investigadores de que é bastante difícil de explorar esta vulnerabilidade, apontando que os hackers teriam já de ter acesso ao kernel do computador, o núcleo do seu sistema operativo. A fabricante compara o caso a um assalto a um banco em que os ladrões para terem acesso aos valores teriam já de ter ultrapassado os alarmes, os guardas e a porta do cofre. Já os investigadores dizem que estas vulnerabilidades estão expostas em Windows e Linux praticamente todos os meses. E que os hackers sofisticados e muitas vezes financiados a nível estatal já podem ter desenvolvido técnicas para explorar estas vulnerabilidades.

O bug em questão é tão complexo, que a AMD foi alertada em outubro do ano passado e os investigadores esperaram cerca de 10 meses até a fabricante ter preparado uma solução antes de partilhar com a comunidade de investigadores de vulnerabilidades. E mesmo no futuro próximo, os investigadores concordaram em não partilhar provas de conceito da vulnerabilidade Sinkclose para dar mais tempo à correção. Mas defendem que mesmo sendo de difícil exploração, esta existe nos computadores das pessoas e deve ser corrigida rapidamente.