Bevor hier wild spekuliert wird, was Sinkclose denn nun wirklich macht, lest es doch einfach nach...
"Eine unsachgemäße Validierung in einem modellspezifischen Register (MSR) könnte es einem bösartigen Programm mit Ring-0-Zugriff ermöglichen, die SMM-Konfiguration zu ändern, während die SMI-Sperre aktiviert ist, was möglicherweise zur Ausführung beliebigen Codes führen könnte."
Das Problem sitzt also in den MSR, Model Specific Registers, was ist das?
Das sind Steueregister einer CPU, mal aus Wikipedia kopiert, "zum Debuggen, zur Programmausführungsverfolgung, zur Überwachung der Computerleistung und zum Umschalten bestimmter CPU-Funktionen". Diese Register können mit bestimmten Instruktionen angesprochen werden.
Schadcode kann über dieses Einfalltor die SMM-Konfiguration ändern, was ist das?
SMM, System Management Mode, beschreibt die verschiedenen Ausführungsmodi einer CPU.
Stichwort hier z.B. Protected Mode, Real Mode usw.
Wie macht die Schadsoftware das? Sie nutzt eine Funktion in AMD CPUs: "TClose". Was ist das?
Das ist ein Sicherheitsmechanismus, der dafür sorgt das das Betriebssystem nicht direkt auf SMM zugreifen kann, sondern nur durch bestimmte Instruktionen. Diese Funktion kann manipuliert werden (Sinkclose). Die gibt es genauso auch bei Intel, funktioniert dort etwas anders, heißt anders, macht aber im Grunde das gleiche.
Problem ist hier das Betriebssystem und laufende Anwendungen keinen Zugriff darauf haben was innerhalb des SMM abgeht, also auch keine Virenscanner usw. Bei entsprechend hoher Priveligierung kann man darüber auf so ziemlich alles zugreifen, was es zum Ziel für Schadsoftware macht.
Allerdings braucht es dazu Ring-0 Zugriff, also Zugriff auf die CPU im Kernel-Mode.
Das heißt, man braucht 1. eine Schadsoftware, die einem erstmal Zugriff auf den Ring-0 gewährt, das kann z.B. ein kompromitierter Treiber sein mit entsprechender Berechtigung.
Über diese Lücke kann dann unbemerkt vom Betriebssystem und unabhängig davon 2. eine weitere Schadsoftware dauerhaft eingespielt werden. Die wird man im Grunde kaum noch los und kann den Rechner wegwerfen. Da die Schadsoftware auf Firmware-Ebene sitzt, müsste man mit einem SPI Flash Programmer auf Hardwareebene direkt an die Speicherchips rangehen. Nur mit Software geht da nichts.
Eine einfache Formatierung und Neuinstallation des Betriebssystems bringt hier gar nichts. Da die Schadsoftware in der Hardware sitzt.
Aber: Das ist eine hochkomplexe Angelegenheit und das wird man ehr machen wenn es um Spionage geht oder andere große Angelegenheiten.
Der übliche Spiele-Rechner zu Hause ist da nicht gerade im Fokus. Da kann nicht einfach mal ein Script-Kiddie zu Hause was zusammenklicken und alle Rechner übernehmen.
Die Sicherheitsforscher sagen ja selber das dies eine der komplexesten Sicherheitslücken ist, die sie je gesehen haben.
Und ja, in AMD (und Intel) CPUs werden noch mehr Sicherheitslücken schlummern. Aber je komplexer sie werden, desto aufwändiger wird ihre Ausnutzung.
