Los investigadores de IOActive han descubierto una vulnerabilidad crítica que ha estado presente en cientos de millones de procesadores AMD desde 2006. ««SinkClose», la vulnerabilidad permite a los piratas informáticos ejecutar código malicioso en uno de los modos de procesador más privilegiados, conocido como Modo de administración del sistema (SMM), que solo debe reservarse para partes específicas y protegidas del firmware.
Si se explota esta falla, puede dificultar mucho la eliminación del malware y puede requerir la eliminación completa de la computadora.
Detalles de vulnerabilidad
Explotar esta falla podría permitir a los piratas informáticos implantar un kit de arranque – Un tipo de malware que se integra en el sistema desde el inicio, volviéndose prácticamente invisible para el sistema operativo y las herramientas antivirus.
La falla aprovecha una función oscura de los procesadores AMD, conocida como «TClose». Esta función, en combinación con un mecanismo de protección llamado «TSeg», evita que los sistemas operativos escriban en una porción protegida de la memoria conocida como Memoria de acceso aleatorio de administración del sistema (SMRAM). Sin embargo, al explotar la reasignación de memoria de TClose, los piratas informáticos pueden redirigir el código SMM para ejecutar comandos maliciosos.
El descubrimiento fue realizado por Enrique Nissim y Krzysztof Okupski, quienes planean mostrar la falla durante la conferencia de hackers Defcon. Según los investigadores, Sink Close afecta a casi todos los procesadores AMD lanzados en casi dos décadas.
Impacto y dificultad de la corrección.
Aunque el exploit Sink Close requiere que el atacante ya tenga acceso al kernel del sistema operativo, los investigadores advierten que los ataques de este tipo son comunes en los sistemas Windows y Linux, lo que revela la gravedad de la falla. En dispositivos con configuraciones específicas, como fallas en el «Arranque seguro de plataforma» de AMD, el malware puede ser más difícil de detectar y eliminar, incluso después de una reinstalación completa del sistema operativo.
En una nota, AMD reconoció la falla y afirmó que ya había lanzado opciones de mitigación para sus productos EPYC, dirigidos a servidores y centros de datos, y para los procesadores Ryzen, utilizados en computadoras personales. La compañía también indicó que pronto se lanzarán actualizaciones para productos integrados, como dispositivos industriales y automóviles.
Sin embargo, AMD no proporcionó detalles sobre cómo pretende parchear la vulnerabilidad en todos los dispositivos afectados.
Recomendación a los usuarios
Para protegerse, se recomienda a los usuarios que apliquen inmediatamente las actualizaciones de seguridad proporcionadas por sus fabricantes. En el caso de los sistemas Windows, se espera que las correcciones se integren en futuras actualizaciones del sistema operativo. Para servidores y sistemas Linux, las actualizaciones pueden estar más fragmentadas y requerir acciones manuales.
A pesar de la complejidad de la vulnerabilidad SinkClose, IOActive advierte que los piratas informáticos sofisticados pueden encontrar rápidamente formas de aprovechar esta vulnerabilidad, lo que hace que sea urgente solucionarlo para todos los sistemas afectados.
¡Quédate dentro!
Periodista de tecnología desde hace casi 20 años, escribe textos, artículos, columnas y reseñas con experiencia cubriendo algunos de los eventos tecnológicos más importantes del mundo, como BGS, CES, Computex, E3 e IFA.
