Encontrada la vulnerabilidad Sinkclose en CPUs AMD que permite ejecutar código modificado a nivel SMM

Parece que los procesadores AMD, desde hace varios años hasta los más recientes, han contado con un fallo importante de seguridad. El conocido como Sinkclose afecta a millones de CPUs de AMD permitiendo ejecutar software malicioso a nivel de núcleo y hacerse casi indetectable. Los investigadores miembros de la firma de seguridad IOActive, que han descubierto esta vulnerabilidad, explican cómo es posible ejecutar código modificado en el modo privilegiado SMM de AMD, un modo diseñado para una parte en concreto y protegida del firmware.

Obtener acceso para explotar Sinkclose no es fácil, tendrías que saltar toda la seguridad del sistema operativo, pero una vez conseguido Sinkclose permite introducir código malicioso a un nivel más profundo. Un nivel que evadiría los sistemas antivirus y las protecciones de Windows incluso puede sobrevivir a una reinstalación del sistema operativo. Una opción que sería casi imposible de reparar, teniendo que abrir el PC y conectarse de forma física mediante un SPI Flash a cierta parte de la memoria para examinarla y eliminar este malware.

Para explotar esta vulnerabilidad, los desconocidos han aprovechado la característica TClose de AMD. Esto evita que los sistemas operativos modernos puedan escribir en la parte protegida y reservada de la memoria, habilitada para el modo de administración del sistema, y que es conocida como SMRAM (System Management RAM). Pero TClose permite a dispositivos más antiguos seguir siendo compatibles a través del acceso a esta SMRAM reasignando otra memoria a estas direcciones de SMRAM. Aquí es donde se puede aprovechar esta reasignación de memoria, únicamente con privilegios de usuario de Windows, para engañar al código SMM con los datos alterados, permitiendo ejecutar su propio código al mismo nivel que el SMM.

Aunque los autores que han descubierto la vulnerabilidad aseguran que no es fácil acceder al sistema para poder aprovechar Sinkclose, también advierten que los hackers ya cuentan con herramientas sofisticadas e incluso no publicadas que permiten este tipo de acceso. Sinkclose ayudaría a dar un paso más para obtener un acceso privilegiado a servidores o equipos domésticos en el que podrían ejecutar código malicioso a nivel privilegiado como es el SMM.

AMD ha reconocido este fallo y también ha resaltado la dificultad para el acceso a este tipo de vulnerabilidad como es Sinkclose, básicamente habría que saltarse toda la seguridad que ofrece un sistema operativo antes de llegar a ejecutar Sinkclose. El fabricante también ha comentado que ya ha lanzado mitigaciones para muchos de sus procesadores afectados, una lista de procesadores que está recogida en su página web y que vemos afecta a una gran cantidad de ellos. Prácticamente desde los AMD fabricados en 2006, aunque en la web se recoge desde los Ryzen 3000 series, hasta los más actuales AM5 de la serie 7000 y 8000G. Pasando por procesadores AMD EPYC para servidores e incluso su versión para sistemas embebidos.

La mitigación de este fallo está disponible para los sistemas EPYC desde mayo de este mismo año, los AMD Ryzen se acaban de actualizar, a excepción de la serie 3000 para la que no hay solución prevista. Los procesadores Threadripper también han sido actualizados recientemente para mitigar este problema junto con las versiones para portátiles de sus procesadores. Faltan los procesadores de sistemas integrados, que AMD ha previsto que puedan recibir una mitigación para este problema el próximo mes de octubre.

También se lanzarán más adelante parches para Sinkclose en los ordenadores con Windows, que se integrarán con las actualizaciones habituales del sistema. Mientras que los servidores y otros equipos con sistemas Linux dependerá de la distribución y requerirán de una instalación manual y seguramente más fragmentada.

Por el momento AMD no ha dado una respuesta sobre como va a solucionar este problema, ya que los parches para mitigación publicados no lo eliminan. En su página web ha dejado una completa lista con los procesadores afectados y en el caso de los EPYC dos métodos alternativos para la mitigación del problema, siendo el más efectivo la actualización del microcódigo.

SinkClose es una vulnerabilidad que ha estado existiendo en procesadores AMD desde hace casi 20 años, tiempo que han estado desprotegidos millones de procesadores instalados en todo tipo de ordenadores y servidores.

Fin del Artículo. ¡Cuéntanos algo en los Comentarios!