AMD advierte sobre una vulnerabilidad de CPU de alta gravedad denominada
SinkClose que afecta a varias generaciones de sus procesadores EPYC, Ryzen y
Threadripper. La vulnerabilidad permite a los atacantes con privilegios de
nivel de kernel (Ring 0) obtener privilegios de Ring -2 e instalar malware que
se vuelve casi indetectable.
Ring -2 es uno de los niveles de privilegio más altos en una computadora, que
se ejecuta por encima de Ring -1 (usado para hipervisores y virtualización de
CPU) y Ring 0, que es el nivel de privilegio utilizado por el kernel de un
sistema operativo.
El nivel de privilegio Ring -2 está asociado con la función System Management
Mode (SMM) de las CPU modernas. SMM maneja la administración de energía, el
control de hardware, la seguridad y otras operaciones de bajo nivel necesarias
para la estabilidad del sistema.
Debido a su alto nivel de privilegio,
SMM está aislado del sistema operativo
para evitar que los actores de amenazas y el malware lo ataquen fácilmente.
Fallo de CPU SinkClose
Identificado como CVE-2023-31315 y calificado como de alta gravedad
(puntuación CVSS: 7,5), el fallo
fue descubierto por Enrique Nissim y Krzysztof Okupski de IOActive, quienes denominaron al ataque de elevación de privilegios
«Sinkclose».
Enrique Nissim, un ingeniero en sistemas de la UTN,
presentó
junto a su colega polaco Krzysztof Okupski. Nissim, que trabaja para la
empresa de seguridad IOActive, encontró esta falla leyendo documentación
técnica, escribió junto a Okupski el método de explotación (exploit) y lo
reportó a AMD..
Los investigadores de IOActive presentaron los detalles completos sobre el
ataque en una charla de DefCon titulada
«AMD Sinkclose: Universal Ring-2 Privilege Escalation». Los investigadores informan que Sinkclose ha pasado desapercibido durante
casi 20 años, afectando a una amplia gama de modelos de chips AMD.
El fallo SinkClose permite a los atacantes con acceso a nivel de kernel (Ring
0) modificar la configuración del modo de administración del sistema (SMM),
incluso cuando el bloqueo de SMM está habilitado. Este fallo podría usarse
para desactivar las funciones de seguridad e instalar malware persistente y
prácticamente indetectable en un dispositivo.
El anillo -2 está aislado y es invisible para el sistema operativo y el
hipervisor, por lo que las herramientas de seguridad que se ejecutan en el
sistema operativo no pueden detectar ni remediar ninguna modificación
maliciosa realizada en este nivel.
Okupski le dijo a Wired
que la única forma de detectar y eliminar el malware instalado con SinkClose
sería conectarse físicamente a las CPU con una herramienta llamada programador
SPI Flash y escanear la memoria en busca de malware.
Según el aviso de AMD, los siguientes modelos están afectados:
- EPYC 1.ª, 2.ª, 3.ª y 4.ª generación
- EPYC Embedded 3000, 7002, 7003 y 9003, R1000, R2000, 5000 y 7000
- Ryzen Embedded V1000, V2000 y V3000
- Ryzen series 3000, 5000, 4000, 7000 y 8000
- Ryzen series 3000 Mobile, 5000 Mobile, 4000 Mobile y 7000 Mobile
- Ryzen Threadripper series 3000 y 7000
- AMD Threadripper PRO (Castle Peak WS SP3, Chagall WS)
- AMD Athlon serie 3000 Mobile (Dali, Pollock)
- AMD Instinct MI300A
AMD afirmó en su aviso
que ya ha publicado mitigaciones para sus CPU de escritorio y móviles EPYC y
AMD Ryzen, y que más adelante habrá más correcciones para las CPU integradas.
Implicaciones reales y respuesta
El acceso a nivel de kernel es un requisito previo para llevar a cabo el
ataque Sinkclose. AMD señaló esto en una declaración a Wired, subrayando la
dificultad de explotar CVE-2023-31315 en escenarios del mundo real.
Sin embargo, IOActive respondió diciendo que las vulnerabilidades a nivel de
kernel, aunque no están muy extendidas, seguramente no son poco comunes en
ataques sofisticados, lo que es cierto según los ataques anteriores conocidos.
Los actores de amenazas persistentes avanzadas (APT), como el grupo norcoreano
Lazarus, han estado utilizando técnicas
BYOVD
(traiga su propio controlador vulnerable) o incluso aprovechando
fallas de Zero-Day de Windows
para escalar sus privilegios y obtener acceso a nivel de kernel.
Las bandas de ransomware también utilizan tácticas BYOVD, empleando
herramientas de eliminación de EDR personalizadas
que venden a otros cibercriminales para obtener ganancias adicionales.
Los notorios especialistas en ingeniería social
Scattered Spider
también han sido vistos aprovechando BYOVD para desactivar productos de
seguridad.
Estos ataques son posibles a través de varias herramientas, desde
Microsoft-signed drivers,
anti-virus drivers,,
MSI graphics drivers,
bugged OEM drivers, e incluso
herramietnas anti-cheat en juegos
que «disfrutan» de acceso a nivel de kernel.
Dicho todo esto, Sinkclose podría representar una amenaza significativa para
las organizaciones que utilizan sistemas basados en AMD, especialmente por
parte de actores de amenazas sofisticados y patrocinados por el estado, y no
debe ignorarse.
Fuente:
BC
Los comentarios están cerrados.