AMD ha emitido una advertencia sobre una vulnerabilidad de alta gravedad en sus procesadores EPYC, Ryzen y Threadripper, llamada SinkClose. Esta vulnerabilidad permite a los atacantes con privilegios a nivel Kernel (Ring 0) obtener privilegios Ring -2 e instalar malware que se vuelve casi indetectable.
El nivel de privilegio Ring -2 es uno de los más altos en una computadora, ya que se encuentra por encima del nivel Ring -1 (utilizado para hipervisores y virtualización de CPU) y Ring 0, que es el nivel de privilegio utilizado por el Kernel del sistema operativo.
El nivel de privilegio Ring -2 está asociado con la función de Modo de Gestión del Sistema (SMM) de las CPU modernas. El SMM se encarga del manejo de energía, el control del hardware, la seguridad y otras operaciones de bajo nivel necesarias para la estabilidad del sistema.
Debido a su alto nivel de privilegio, el SMM está aislado del sistema operativo para evitar que sea fácilmente blanco de actores amenazantes y malware.
La vulnerabilidad SinkClose, rastreada como CVE-2023-31315 y clasificada como alta gravedad (puntuación CVSS: 7.5), fue descubierta por los investigadores de IOActive Enrique Nissim y Krzysztof Okupski, quienes la denominaron “Sinkclose” como ataque de elevación de privilegios.
Los investigadores informan que SinkClose ha pasado desapercibido durante casi 20 años, afectando a una amplia gama de modelos de chips de AMD.
Esta falla permite a los atacantes con acceso a nivel Kernel (Ring 0) modificar la configuración de Modo de Gestión del Sistema (SMM), incluso cuando el Bloqueo de SMM está habilitado. Esta falla podría utilizarse para desactivar las características de seguridad e instalar malware persistente y prácticamente indetectable en un dispositivo.
Debido a que el nivel de privilegio Ring -2 está aislado e invisible para el sistema operativo y el hipervisor, cualquier modificación maliciosa realizada en este nivel no puede ser detectada ni corregida por las herramientas de seguridad en ejecución en el sistema operativo.
Según el aviso de AMD, los siguientes modelos se ven afectados:
– EPYC de 1ª, 2ª, 3ª y 4ª generaciones.
– EPYC Embedded 3000, 7002, 7003 y 9003, R1000, R2000, 5000 y 7000.
– Ryzen Embedded V1000, V2000 y V3000.
– Series Ryzen 3000, 5000, 4000, 7000 y 8000.
– Series Ryzen 3000 Mobile, 5000 Mobile, 4000 Mobile y 7000 Mobile.
– Series Ryzen Threadripper 3000 y 7000.
– AMD Threadripper PRO (Castle Peak WS SP3, Chagall WS).
– AMD Athlon 3000 Series Mobile (Dali, Pollock).
– AMD Instinct MI300A.
AMD ha anunciado que ya ha implementado medidas de mitigación para sus procesadores EPYC, Ryzen de escritorio y portátiles, y que próximamente se lanzarán soluciones para los procesadores integrados.
En conclusión, la vulnerabilidad SinkClose representa una amenaza significativa para las organizaciones que utilizan sistemas basados en AMD, especialmente ante actores amenazantes sofisticados y patrocinados por estados, y no debe ser ignorada. Es importante que los usuarios implementen las actualizaciones y soluciones proporcionadas por AMD para proteger sus sistemas contra esta vulnerabilidad.
Preguntas frecuentes sobre la vulnerabilidad SinkClose en procesadores AMD
1. ¿Qué es la vulnerabilidad SinkClose en los procesadores AMD?
SinkClose es una vulnerabilidad de alta gravedad que afecta a los procesadores EPYC, Ryzen y Threadripper de AMD. Permite a los atacantes con privilegios a nivel Kernel obtener privilegios Ring -2 e instalar malware que se vuelve casi indetectable.
2. ¿Qué es el nivel de privilegio Ring -2?
El nivel de privilegio Ring -2 está por encima del nivel de privilegio Ring -1 (utilizado para hipervisores y virtualización de CPU) y Ring 0 (utilizado por el Kernel del sistema operativo). Es uno de los niveles más altos de privilegio en una computadora.
3. ¿Qué es el Modo de Gestión del Sistema (SMM)?
El Modo de Gestión del Sistema es una función de las CPU modernas que se encarga del manejo de energía, el control del hardware, la seguridad y otras operaciones de bajo nivel necesarias para la estabilidad del sistema.
4. ¿Cuál es el impacto de la vulnerabilidad SinkClose?
Esta vulnerabilidad permite a los atacantes modificar la configuración del Modo de Gestión del Sistema, incluso cuando el Bloqueo de SMM está habilitado. Esto podría ser utilizado para desactivar características de seguridad e instalar malware persistente e indetectable en un dispositivo.
5. ¿Cuáles modelos de procesadores AMD se ven afectados por esta vulnerabilidad?
Los modelos afectados incluyen procesadores EPYC de varias generaciones, EPYC Embedded, Ryzen Embedded, series Ryzen, series Ryzen Threadripper, AMD Threadripper PRO, AMD Athlon 3000 Series Mobile y AMD Instinct MI300A.
6. ¿AMD ha tomado medidas para mitigar esta vulnerabilidad?
Sí, AMD ha implementado medidas de mitigación para sus procesadores EPYC, Ryzen de escritorio y portátiles. También ha anunciado que próximamente se lanzarán soluciones para los procesadores integrados.
Es importante que los usuarios implementen las actualizaciones y soluciones proporcionadas por AMD para proteger sus sistemas contra esta vulnerabilidad.