'Sinkclose' es el nombre de un importante yacimiento recientemente descubierto seguridad Una vulnerabilidad que afecta a prácticamente todos los procesadores de AMD lanzados desde 2006 permite a los atacantes infiltrarse profundamente en un sistema, lo que dificulta enormemente la detección o eliminación de software malicioso. El problema es tan grave que, en algunos casos, puede resultar más fácil abandonar una máquina infectada que repararla, según informa Con cable.
Sin embargo, hay buenas noticias: dado que no se ha descubierto durante 18 años, es probable que no se haya utilizado. Además, la DMAE es Parcheo sus plataformas para protegerlas, aunque no todos los procesadores afectados han recibido aún un parche.
Sinkclose evade los antivirus y persiste incluso después de reinstalar el sistema operativo
La vulnerabilidad Sinkclose permite a los hackers ejecutar código dentro del Modo de Gestión del Sistema (SMM) de los procesadores AMD, un área altamente privilegiada que normalmente está reservada para operaciones críticas de firmware. Para explotar esta falla, los atacantes primero deben obtener acceso al núcleo de un sistema, lo cual no es fácil, pero es posible. Sin embargo, el sistema ya debe haber sido comprometido por algún otro ataque.
Una vez asegurado este acceso, la vulnerabilidad Sinkclose permite a los perpetradores instalar malware bootkit que evade la detección por parte de las herramientas antivirus estándar, permanece casi invisible dentro del sistema y puede persistir incluso después de reinstalar el sistema operativo.
La vulnerabilidad aprovecha una característica ambigua de los chips AMD conocida como TClose, cuyo objetivo es mantener la compatibilidad con dispositivos más antiguos. Al manipular esta característica, los investigadores pudieron redirigir el procesador para que ejecutara su propio código en el nivel SMM. Este método es complejo, pero proporciona a los atacantes un control profundo y persistente sobre el sistema.
Los investigadores de seguridad Enrique Nissim y Krzysztof Okupski de IOActive identificaron la vulnerabilidad Sinkclose y la presentarán en la conferencia Defcon de mañana.
“Para aprovechar la vulnerabilidad, un hacker ya debe tener acceso al núcleo de una computadora, el núcleo de su sistema operativo”, dijo AMD en un comunicado. Con cable AMD compara la técnica Sinkhole con obtener acceso a las cajas de seguridad de un banco después de haber superado sus alarmas, guardias y puerta de la bóveda.
Nissim y Okupski señalan que, aunque explotar Sinkclose requiere acceso a nivel de kernel, las vulnerabilidades a este nivel se descubren con frecuencia en sistemas Windows y Linux. Sugieren que los hackers avanzados patrocinados por estados probablemente ya tengan las herramientas para explotar este tipo de vulnerabilidades. Según los investigadores, los exploits de kernel están fácilmente disponibles, lo que convierte a Sinkclose en el siguiente paso para los atacantes. Para eliminar el malware, uno necesitaría abrir la computadora, conectarse a una parte específica de su memoria usando un programador SPI Flash, inspeccionar cuidadosamente la memoria y luego eliminar el malware.
Afecta a una amplia gama de CPU AMD
La falla Sinkclose afecta a una amplia gama de procesadores AMD utilizados en PCs cliente, servidores y sistemas integrados. Desafortunadamente, los últimos procesadores basados en Zen de AMD con la función Secure Boot de la plataforma que no fue implementada correctamente por un fabricante de computadoras o de placas base son especialmente vulnerables en el sentido de que es más difícil detectar malware instalado en el enclave seguro de AMD.
Los investigadores esperaron 10 meses antes de revelar la vulnerabilidad para darle a AMD más tiempo para solucionarla. AMD ha reconocido la vulnerabilidad y Comenzó a publicar opciones de mitigación para los productos afectados.incluidos sus procesadores para PC Ryzen y el centro de datos EPYC. Ya se han publicado parches para algunos productos y se espera que aparezcan más pronto. Sin embargo, AMD aún no ha revelado cómo abordará la vulnerabilidad en todos los dispositivos afectados.
Los investigadores advierten que la vulnerabilidad representa un riesgo significativo y que los usuarios no deberían demorarse en implementar las correcciones disponibles para proteger sus sistemas. Nissim y Okupski destacan la importancia de aplicar estos parches tan pronto como estén disponibles, a pesar de la dificultad de explotar la “puerta trasera”. Argumentan que los piratas informáticos sofisticados patrocinados por el estado ya podrían poseer los medios para explotar esta vulnerabilidad, lo que hace que las actualizaciones oportunas sean cruciales para mantener la seguridad del sistema.