AMD advierte sobre una vulnerabilidad de CPU de alta gravedad denominada SinkClose que afecta a varias generaciones de sus procesadores EPYC, Ryzen y Threadripper. La vulnerabilidad permite a los atacantes con privilegios de nivel de kernel (Ring 0) obtener privilegios de Ring -2 e instalar malware que se vuelve casi indetectable.
El anillo -2 es uno de los niveles de privilegio más altos en una computadora, y se ejecuta por encima del anillo -1 (usado para hipervisores y virtualización de CPU) y el anillo 0, que es el nivel de privilegio utilizado por el kernel de un sistema operativo.
El nivel de privilegio Ring -2 está asociado con la función de modo de administración del sistema (SMM) de las CPU modernas. SMM se encarga de la administración de energía, el control del hardware, la seguridad y otras operaciones de bajo nivel necesarias para la estabilidad del sistema.
Debido a su alto nivel de privilegio, SMM está aislado del sistema operativo para evitar que actores de amenazas y malware lo ataquen fácilmente.
Falla de CPU en SinkClose
Identificada como CVE-2023-31315 y calificada de alta gravedad (puntuación CVSS: 7,5), la falla fue Descubierto por IOActive Enrique Nissim y Krzysztof Okupski, quienes bautizaron el ataque de elevación de privilegios como 'Sinkclose'.
Los investigadores presentarán mañana detalles completos sobre el ataque en una charla de DefCon titulada “AMD Sinkclose: escalada de privilegios de anillo universal 2.”
Los investigadores informan que Sinkclose ha pasado desapercibido durante casi 20 años, afectando a una amplia gama de modelos de chips AMD.
La falla SinkClose permite a los atacantes con acceso a nivel de kernel (Ring 0) modificar la configuración del modo de administración del sistema (SMM), incluso cuando el bloqueo de SMM está habilitado. Esta falla podría usarse para desactivar funciones de seguridad e instalar malware persistente y prácticamente indetectable en un dispositivo.
El anillo -2 está aislado e invisible para el sistema operativo y el hipervisor, por lo que las herramientas de seguridad que se ejecutan en el sistema operativo no pueden detectar ni remediar ninguna modificación maliciosa realizada en este nivel.
Okupski Le dijo a Wired que la única forma de detectar y eliminar el malware instalado mediante SinkClose sería conectarse físicamente a las CPU mediante una herramienta llamada programador SPI Flash y escanear la memoria en busca de malware.
Según el aviso de AMD, los siguientes modelos están afectados:
- EPYC 1.ª, 2.ª, 3.ª y 4.ª generación
- EPYC Embedded 3000, 7002, 7003 y 9003, R1000, R2000, 5000 y 7000
- Ryzen Embedded V1000, V2000 y V3000
- Series Ryzen 3000, 5000, 4000, 7000 y 8000
- Series Ryzen 3000 Mobile, 5000 Mobile, 4000 Mobile y 7000 Mobile
- Serie Ryzen Threadripper 3000 y 7000
- AMD Threadripper PRO (Castle Peak WS SP3, Chagall WS)
- Serie AMD Athlon 3000 para dispositivos móviles (Dali, Pollock)
- Instinto AMD MI300A
AMD se indica en su aviso que ya ha lanzado mitigaciones para sus CPU de escritorio y móviles EPYC y AMD Ryzen, y que más adelante habrá más correcciones para las CPU integradas.
Implicaciones reales y respuesta
El acceso a nivel de kernel es un requisito previo para llevar a cabo el ataque Sinkclose. AMD lo señaló en una declaración a Wired, subrayando la dificultad de explotar CVE-2023-31315 en escenarios del mundo real.
Sin embargo, IOActive respondió diciendo que las vulnerabilidades a nivel de kernel, aunque no están muy extendidas, seguramente no son poco comunes en ataques sofisticados, lo que es cierto según los ataques anteriores cubiertos por BleepingComputer.
Los actores de amenazas persistentes avanzadas (APT), como el grupo norcoreano Lazarus, han estado utilizando Lleva contigo tu propio vehículo (Traiga su propio conductor vulnerable) técnicas o incluso aprovechar Falla de día cero en Windowss para escalar sus privilegios y obtener acceso a nivel de kernel.
Las bandas de ransomware también utilizan tácticas BYOVD, empleando Herramientas personalizadas para eliminar EDR Los venden a otros ciberdelincuentes para obtener ganancias adicionales.
Los notorios especialistas en ingeniería social Araña dispersa También se han visto usuarios que utilizan BYOVD para desactivar productos de seguridad.
Estos ataques son posibles a través de varias herramientas, desde Controladores firmados por Microsoft, controladores antivirus, Controladores gráficos MSI, controladores OEM con erroresy aún herramientas anti-trampas para juegos que disfrutan de acceso a nivel de kernel.
Dicho todo esto, Sinkclose podría representar una amenaza importante para las organizaciones que utilizan sistemas basados en AMD, especialmente por parte de actores de amenazas sofisticados y patrocinados por el Estado, y no debe ignorarse.
