Investigadores en ciberseguridad han identificado una vulnerabilidad crítica que afecta a millones de CPUs de AMD, permitiendo a atacantes ejecutar software malicioso más allá del nivel de núcleo (Ring 0), lo que hace extremadamente difícil su detección y eliminación.
Denominada «Sinkclose» (CVE-2023-31315), esta falla de seguridad afecta a todos los procesadores de AMD lanzados desde 2006, otorgando a los atacantes acceso al Modo de Administración del Sistema (SMM), uno de los niveles de privilegio más altos (Ring -2) dentro del hardware. Esta vulnerabilidad opera en un nivel más profundo del núcleo, lo que la hace casi indetectable y extremadamente difícil de eliminar.
De ahí que los expertos de IOActive, que han compartido sus hallazgos en Wired, hayan indicado que esta vulnerabilidad persistente durane 18 años se ha ocultado a un nivel lo suficientemente profundo como para que»en muchos casos» fuese más sencillo desechar el equipo «que desinfectarlo».
Según Enrique Nissim y Krzysztof Okupski, los atacantes tenían la oportunidad de infectar millones de ordenadores con CPU fabricada por AMD con un ‘malware’ conocido como ‘bootkit’,e sto es, kits que reemplazan al cargador de arranque de un sistema operativo.
Este ‘software’ malicioso, además, que invalida las herramientas antivirus y es prácticamente invisible para el sistema operativo. Al tiempo, ofrecería a los ciberdelincuentes acceso completo al sistema para manipularlo y supervisar su actividad.
AMD RECONOCE LA FALLA
AMD, por su parte, ha reconocido lo compartido por los investigadores y ha lanado una serie de opciones de mitigación para sus productos AMD Epyc y AMD Ryzen para PC. Pronto las habrá para productos integrados» -esto es, los que equipan dispositivos industriales y automóviles, entre otros-, ha comentado la firma.
Por otra parte, ha compartido una lista completa de los productos afectadps, que se puede encontrar en su página web. Entre ellos, se encuentran las familias de chips Ruzen 4000 Renoir, Ryzen 5000 Vermeer/Cezane y Athlon 300 (Dali/Pollock).
Entre las actualizaciones de seguridad, sin embargo, no están incluidas las dirigidas a los procesadores más populares entre los consumidores, entre los que se incluyen los procesadores Ryzen 3000, Ryzen 9000 y Ryzen AI 300 Series, tal y como ha comprobado Tom’s Hardware.
Por otra parte, ha reiterado a Wired la dificultad que presenta dicha vulnerabilidad para su explotación, ya que el ciberdelincuente debe poseer acceso al kernel de un ordenador para ello.
Los investigadores también han adelantado que esperan que los parches para solucionar Sinkclose se integren en las próximas actualizaciones de Microsoft y que los dirigidos a sistemas y PC Linux llegarán gradualmente.