Una nuova vulnerabilità è da poco emersa nel software che AMD ha fornito alle case produttrici di schede madri per consentire il supporto all’uso di processori APU lanciati tra il 2016 e il 2019. La vulnerabilità, definita “SMM Callout Privilege Escalation”, è stata rilevata dal ricercatore Danny Odler a livello del firmware UEFI, rendendo di conseguenza la sua risoluzione di primaria importanza.
Per poter sfruttare tale vulnerabilità è necessario l’accesso fisico (o in alternativa privilegi da amministratore) al PC dotato di scheda madre con supporto ad APU AMD. Una volta che si è in possesso di tale requisito, sarà possibile mettere mano al “AMD Generic Encapsulated Software Architecture” (AGESA) e tramite questo eseguire codice non rilevabile dal sistema operativo.
L’impossibilità di rilevare chiaramente operazioni malevoli del genere è da ricercare nella componente stessa sfruttata dalla vulnerabilità in questione: il System Management Mode (SMM).
All’avvio del PC, il firmware UEFI ha il totale controllo del sistema fino a quando non viene eseguito il sistema operativo. Da questo momento in poi l’unico modo che avrà UEFI per controllare lo stato del sistema hardware sarà attraverso la funzionalità SMM. Quando il chipset viene notificato di un evento che richiede il passaggio a tale modalità, un segnale definito “System Management Interrupts (SMI)" viene inviato dal chipset stesso alla CPU, lo stato di quest’ultima viene salvato in una particolare regione di RAM predisposta dallo stesso UEFI definita SMRAM e il controllo passa quindi all’SMM.
Tramite questo piccolo espediente del System Management Mode, il firmware è in grado di effettuare una varietà di operazioni, come il controllo delle ventole o del Clock della CPU, senza che il sistema operativo sia messo al corrente; questo permette di eseguire codice in totale autonomia, senza controllo. A conti fatti, questo tipo di interruzione non verrà in alcun modo rilevata dall'OS, che quindi non può avere controllo su ciò che potrebbe accadere nella modalità SMM.
Ci sono però buone notizie. Non solo AMD è già riuscita a risolvere il problema con un aggiornamento per AGESA che impedisce la chiamata ad SMM senza le dovute autorizzazioni, ma è anche in procinto di distribuirlo a tutti i produttori con l’obiettivo di eliminare la vulnerabilità entro la fine di giugno.
L’operazione è quindi già in corso e non dovrebbe impattare in alcun modo sulle prestazioni. Non resta che seguire i classici buoni consigli, prestare attenzione e mantenere il sistema aggiornato con le ultime patch disponibili.
Dopo aver aggiornato il nostro sistema e averlo protetto anche da questa nuova vulnerabilità, la cosa migliore che possiamo fare è dotarci di un buon antivirus. Uno dei migliori è Kaspersky Internet Security, acquistabile direttamente da Amazon.
