Investigadores de ciberseguridad han descubierto una vulnerabilidad que afecta a millones de CPUs de la firma AMD y que permite a los ciberdelincuentes ejecutar software malicioso más allá del denominado nivel de núcleo (Ring 0), lo que dificulta su detección y eliminación.
Sinkclose es el nombre de una falla de seguridad (CVE-2023-31315) de gravedad que afecta a todos los procesadores de AMD lanzados desde el año 2006 y da la opotunidad a estos ciberdelincuentes de acceder a uno de los modos más privilegiados de estos procesadores.
En concreto, al Modo de administración o gestión del sistema (SMM, por sus siglas en inglés), que se da a un nivel más profundo del núcleo (Ring -2) -uno de los niveles de privilegio más altos en un ordenador, que se ejecuta por encima del Ring -1, tal y como recuerda Bleeping Computer-, de manera que se hace casi imperceptible y complica su eliminación.
De ahí que los expertos de IOActive, que han compartido sus hallazgos en Wired, hayan indicado que esta vulnerabilidad persistente durane 18 años se ha ocultado a un nivel lo suficientemente profundo como para que "en muchos casos" fuese más sencillo desechar el equipo "que desinfectarlo".
Según Enrique Nissim y Krzysztof Okupski, los atacantes tenían la oportunidad de infectar millones de ordenadores con CPU fabricada por AMD con un malware conocido como 'bootkit',e sto es, kits que reemplazan al cargador de arranque de un sistema operativo.
Este software malicioso, además, que invalida las herramientas antivirus y es prácticamente invisible para el sistema operativo. Al tiempo, ofrecería a los ciberdelincuentes acceso completo al sistema para manipularlo y supervisar su actividad.
AMD reconoce la falla
AMD, por su parte, ha reconocido lo compartido por los investigadores y ha lanado una serie de opciones de mitigación para sus productos AMD Epyc y AMD Ryzen para PC. Pronto las habrá para productos integrados" -esto es, los que equipan dispositivos industriales y automóviles, entre otros-, ha comentado la firma.
Por otra parte, ha compartido una lista completa de los productos afectados, que se puede encontrar en su página web. Entre ellos, se encuentran las familias de chips Ruzen 4000 Renoir, Ryzen 5000 Vermeer/Cezane y Athlon 300 (Dali/Pollock).
Entre las actualizaciones de seguridad, sin embargo, no están incluidas las dirigidas a los procesadores más populares entre los consumidores, entre los que se incluyen los procesadores Ryzen 3000, Ryzen 9000 y Ryzen AI 300 Series, tal y como ha comprobado Tom's Hardware.
Por otra parte, ha reiterado a Wired la dificultad que presenta dicha vulnerabilidad para su explotación, ya que el ciberdelincuente debe poseer acceso al kernel de un ordenador para ello.
Los investigadores también han adelantado que esperan que los parches para solucionar Sinkclose se integren en las príximas actualizaciones de Microsoft y que los dirigidos a sistemas y PC Linux llegarán gradualmente.