Una falla de seguridad afecta a todos los ordenadores AMD lanzados desde 2006

Los atacantes tenían la oportunidad de infectar millones de ordenadores con un malware conocido como bootkit

Investigadores en ciberseguridad han revelado una vulnerabilidad que impacta a millones de CPUs de AMD, permitiendo a atacantes ejecutar software malicioso en niveles superiores al núcleo (Ring 0), lo que complica su detección y eliminación.

Sinkclose es el nombre de una falla de seguridad (CVE-2023-31315) de gravedad que afecta a todos los procesadores de AMD lanzados desde el año 2006 y da la oportunidad a estos ciberdelincuentes de acceder a uno de los modos más privilegiados de estos procesadores.

En concreto, al Modo de administración o gestión del sistema (SMM, por sus siglas en inglés), que se da a un nivel más profundo del núcleo (Ring -2) -uno de los niveles de privilegio más altos en un ordenador, que se ejecuta por encima del Ring -1, tal y como recuerda Bleeping Computer-, de manera que se hace casi imperceptible y complica su eliminación.

De ahí que los expertos de IOActive, que han compartido sus hallazgos en Wired, han indicado que esta vulnerabilidad persistente durante 18 años se ha ocultado a un nivel lo suficientemente profundo como para que en muchos casos fuese más sencillo desechar el equipo “que desinfectarlos”.

Según Enrique Nissim y Krzysztof Okupski, los atacantes tenían la oportunidad de infectar millones de ordenadores con CPU fabricada por AMD con un malware conocido como bootkit, esto es, kits que reemplazan al cargador de arranque de un sistema operativo.

Este software malicioso, además de invalidar las herramientas antivirus, es prácticamente invisible para el sistema operativo. Al tiempo, ofrecería a los ciberdelincuentes acceso completo al sistema para manipularlo y supervisar su actividad.

AMD reconoce la falla

AMD, por su parte, ha reconocido lo compartido por los investigadores y ha lanzado una serie de opciones de mitigación para sus productos AMD Epyc y AMD Ryzen para PC. Pronto las habrá para productos integrados” esto es, los que equipan dispositivos industriales y automóviles, entre otros, ha comentado la firma.

Por otra parte, ha compartido una lista completa de los productos afectados, que se puede encontrar en su página web. Entre ellos, se encuentran las familias de chips Ruzen 4000 Renoir, Ryzen 5000 Vermeer/Cezane y Athlon 300 (Dali/Pollock).

Entre las actualizaciones de seguridad, sin embargo, no están incluidas las dirigidas a los procesadores más populares entre los consumidores, entre los que se incluyen los procesadores Ryzen 3000, Ryzen 9000 y Ryzen AI 300 Series, tal y como ha comprobado Tom’s Hardware.

Por otra parte, ha reiterado a Wired la dificultad que presenta dicha vulnerabilidad para su explotación, ya que el ciberdelincuente debe poseer acceso al kernel de un ordenador para ello.

Los investigadores también han adelantado que esperan que los parches para solucionar Sinkclose se integren en las próximas actualizaciones de Microsoft mientras que los dirigidos a sistemas y PC Linux llegarán gradualmente.