Los investigadores de ciberseguridad han descubierto una vulnerabilidad que afecta a millones de CPUs de la firma AMD y que permite a agentes maliciosos ejecutar ‘software’ malicioso más allá del denominado nivel de núcleo (Ring 0), lo que dificulta su detección y eliminación. Esta falla, conocida como Sinkclose, ha estado expuesta durante casi dos décadas, representando un serio riesgo para los usuarios de dispositivos con procesadores AMD.
La investigación realizada por los expertos de IOActive y dada a conocer en Wired, revela detalles técnicos profundos sobre esta vulnerabilidad persistente que se ha ocultado a un nivel tan profundo que, en muchos casos, resulta más sencillo desechar el equipo que intentar desinfectarlo.
La Gravedad de la Vulnerabilidad Sinkclose
Sinkclose es el nombre de una falla de seguridad (CVE-2023-31315) que afecta a todos los procesadores de AMD lanzados desde el año 2006. Esta vulnerabilidad permite a los ciberdelincuentes acceder a uno de los modos más privilegiados de estos procesadores: el Modo de Administración o Gestión del Sistema (SMM).
El SMM se ejecuta a un nivel más profundo del núcleo (Ring -2), uno de los niveles de privilegio más altos en un ordenador, por encima incluso del Ring -1. Esto significa que el malware que aprovecha esta vulnerabilidad se vuelve casi imperceptible y su eliminación se complica enormemente.
Los investigadores, Enrique Nissim y Krzysztof Okupski, han explicado que los atacantes tenían la oportunidad de infectar millones de ordenadores con CPU fabricada por AMD con un ‘malware’ conocido como ‘bootkit’. Estos ‘kits’ reemplazan al cargador de arranque de un sistema operativo, invalidando las herramientas antivirus y haciéndose prácticamente invisibles para el sistema operativo. Esto les otorgaría a los ciberdelincuentes un acceso completo al sistema para manipularlo y supervisar su actividad.
La Respuesta de AMD y las Actualizaciones de Seguridad
Ante esta grave vulnerabilidad, AMD ha reconocido lo compartido por los investigadores y ha lanzado una serie de opciones de mitigación para sus productos AMD Epyc y AMD Ryzen para PC. Estas actualizaciones de seguridad también llegarán pronto a los productos integrados, es decir, aquellos que equipan dispositivos industriales y automóviles, entre otros.
AMD ha publicado una lista completa de los productos afectados, que incluye las familias de chips Ryzen 4000 Renoir, Ryzen 5000 Vermeer/Cezane y Athlon 300 (Dali/Pollock). Sin embargo, las actualizaciones de seguridad no están incluidas para los procesadores más populares entre los consumidores, como los Ryzen 3000, Ryzen 9000 y Ryzen AI 300 Series.
Además, la compañía ha reiterado la dificultad que presenta la explotación de esta vulnerabilidad, ya que el ciberdelincuente debe poseer acceso al kernel de un ordenador para ello.
Los investigadores de IOActive han adelantado que esperan que los parches para solucionar Sinkclose se integren en las próximas actualizaciones de Microsoft y que los dirigidos a sistemas y PC Linux llegarán gradualmente.