꿈을꾸는 파랑새

AMD는 EPYC, Ryzen 및 Threadripper 프로세서의 여러 세대에 영향을 미치는 SinkClose라는 심각도가 높은 CPU 취약점에 대해 경고 해당 취약점으로 말미암아 커널 수준(링 0) 권한을 가진 공격자가 링-2 권한을 얻고 거의 감지할 수 없는 악성 코드를 설치할 수 있음
링 -2는 컴퓨터에서 가장 높은 권한 수준 중 하나이며 링 -1(하이퍼바이저 및 CPU 가상화에 사용됨)과 운영 체제 커널에서 사용되는 권한 수준인 링 0위에서 실행
링 -2 권한 수준은 최신 CPU의 시스템 관리 모드(SMM) 기능과 연결
SMM은 시스템 안정성에 필요한 전원 관리, 하드웨어 제어, 보안 및 기타 낮은 수준의 작업을 처리
높은 권한 수준으로 말미암아 SMM은 운영 체제에서 격리되어 위협 행위자 및 맬웨어의 쉽게 표적이 되는 것을 방지
SinkClose CPU 결함
CVE-2023-31315로 추적되고 높은 심각도(CVSS 점수: 7.5)로 평가된 해당 결함은 IOActive Enrique Nissim과 Krzysztof Okupski에 의해 발견되었으며 권한 상승 공격은 Sinkclose라고 명명
공격에 대한 자세한 내용은 내일 연구원들이 AMD Sinkclose: Universal Ring-2 Privilege Escalation 이라는 제목의 DefCon 강연에서 발표할 예정
연구원들은 Sinkclose가 거의 20년 동안 감지되지 않은 채 지나갔으며 광범위한 AMD 칩 모델에 영향을 미쳤다고 보고
SinkClose 결함으로 말미암아 커널 수준 액세스(링 0)를 가진 공격자가 SMM 잠금이 활성화된 경우에도 SMM(시스템 관리 모드) 설정을 수정할 수 있음
해당 결함은 보안 기능을 끄고 장치에 지속적이고 거의 감지할 수 없는 악성 코드를 심는 데 사용될 수 있음
링 -2는 격리되어 OS와 하이퍼바이저에 표시되지 않으므로 해당 수준에서 이루어진 모든 악의적인 수정은 OS에서 실행되는 보안 도구로 포착하거나 수정할 수 없음
SinkClose를 사용하여 설치된 맬웨어를 탐지하고 제거하는 유일한 방법은 SPI 플래시 프로그래머라는 도구를 사용하여 CPU에 물리적으로 연결하고 메모리에서 맬웨어를 검색 방법
AMD의 권고로는 다음 모델이 영향을 받습니다.

AMD Zen CPU
AMD Zen CPU

EPYC 1세대, 2세대, 3세대, 4세대
EPYC 임베디드 3000, 7002, 7003, 9003, R1000, R2000, 5000, 7000
Ryzen 임베디드 V1000, V2000 및 V3000
Ryzen 3000, 5000, 4000, 7000 및 8000 시리즈
Ryzen 3000 모바일, 5000 모바일, 4000 모바일 및 7000 모바일 시리즈
Ryzen Threadripper 3000 및 7000시리즈
AMD Threadripper PRO(Castle Peak WS SP3, Chagall WS)
AMD Athlon 3000 시리즈 모바일(Dali, Pollock)
AMD 본능 MI300A
AMD는 권고문에서 이미 EPYC 및 AMD Ryzen 데스크톱 및 모바일 CPU에 대한 완화 조치를 발표했으며 나중에 임베디드 CPU에 대한 추가 수정 사항을 발표
실제 시사점과 대응
커널 수준 액세스는 Sinkclose 공격을 수행하기 위한 전제 조건
AMD는 Wired에 대한 성명을 통해 이를 실제 시나리오에서 CVE-2023-31315를 악용하는 데 어려움이 있다는 점을 지적
이전 공격을 기반으로 볼 때 커널 수준 취약점이 비록 널리 퍼져 있지는 않지만 정교한 공격에서 흔히 볼 수 있는 일
북한의 Lazarus(라자루스) 그룹과 같은 지능형 지속 위협(APT) 공격자는 BYOVD (Bring Your Own Vulnerable Driver) 기술을 사용하거나 제로데이 Windows 결함을 활용하여 권한을 확대하고 커널 수준 액세스 권한을 얻었음
맞춤형 EDR 제거 도구를 또한 랜섬웨어 갱단은 추가 이익을 위해 다른 사이버 범죄자에게 판매하는 사용하는 BYOVD 전술을 사용합니다.
악명 높은 사회 공학 전문가인 Scattered Spider 도 BYOVD를 활용하여 보안 제품을 끄는 것이 발견
이러한 공격은 Microsoft 서명 드라이버, 바이러스 백신 드라이버, MSI 그래픽 드라이버, 버그가 있는 OEM 드라이버 등 게임 치트 방지 도구, 커널 수준 액세스를 다양한 도구를 통해 가능합니다.
즉 Sinkclose는 AMD 기반 시스템을 사용하는 조직, 특히 국가가 후원하는 정교한 위협 행위자로부터 심각한 위협을 가할 수 있으므로 무시해서는 안 됨

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band