Los investigadores de IOActive han descubierto una falla de seguridad crítica, presente en cientos de millones de procesadores AMD desde 2006. Apodado «Sinkclose», la vulnerabilidad permite a los atacantes ejecutar código malicioso en uno de los modos más privilegiados del procesador, conocido como *Modo de administración del sistema* (SMM), que debe reservarse solo para partes específicas y proteger el firmware.
Esta falla, si se explota, puede hacer que eliminar el malware sea extremadamente difícil e incluso puede requerir borrar completamente la computadora.
Detalles de vulnerabilidad
La explotación de esta falla podría permitir a los piratas informáticos implantar un kit de inicio — un tipo de malware que se integra en el sistema al iniciarse, volviéndose prácticamente invisible para el sistema operativo y las herramientas antivirus.
La falla aprovecha una característica poco conocida de los procesadores AMD, conocida como “TClose”. Esta característica, combinada con un mecanismo de protección llamado «TSeg», evita que los sistemas operativos escriban en una parte protegida de la memoria llamada «Memoria de acceso aleatorio de administración del sistema» (SMRAM). Sin embargo, al explotar la reasignación de memoria realizada por «TClose», los piratas informáticos pueden redirigir el código SMM para ejecutar comandos maliciosos.
El descubrimiento fue realizado por Enrique Nissim y Krzysztof Okupski, quienes planean presentar el defecto en la conferencia de hackers Defcon. Según los investigadores, Sinkclose afecta a prácticamente todos los procesadores AMD lanzados hace casi dos décadas.
Impacto y dificultad de la corrección.
Aunque el exploit Sinkclose requiere que el atacante ya tenga acceso al corazón del sistema operativo (kernel), los investigadores advierten que los ataques de este tipo son comunes en los sistemas Windows y Linux, lo que revela la gravedad de la falla. En dispositivos con configuraciones específicas, como fallas en Platform Secure Boot de AMD, la detección y eliminación de malware puede ser aún más difícil, incluso con una reinstalación completa del sistema operativo.
En una nota, AMD reconoció la falla y dijo que ya había lanzado opciones de mitigación para sus productos EPYC, destinados a servidores y centros de datos, y para procesadores Ryzen, utilizados en PC. La empresa también indicó que las actualizaciones para productos integrados, como. dispositivos industriales y automotrices, se lanzará pronto.
Sin embargo, AMD no ha proporcionado detalles sobre cómo planea parchear la vulnerabilidad en todos los dispositivos afectados.
Recomendación a los usuarios
Para protegerse, se recomienda a los usuarios que apliquen inmediatamente las actualizaciones de seguridad proporcionadas por sus fabricantes. En el caso de los sistemas Windows, se espera que se incluyan correcciones en futuras actualizaciones del sistema operativo. Para servidores y sistemas Linux, las actualizaciones pueden estar más fragmentadas y requerir procedimientos manuales.
A pesar de la complejidad del exploit Sinkclose, IOActive advierte que los piratas informáticos sofisticados pueden encontrar rápidamente formas de explotar esta vulnerabilidad, lo que hace que el parche sea urgente para todos los sistemas afectados.
¡QUÉDATE DENTRO!
Periodista de tecnología desde hace unos 20 años, escribe textos, artículos, columnas y reseñas y tiene experiencia cubriendo algunos de los eventos tecnológicos más importantes del mundo, como BGS, CES, Computex, E3 e IFA.
«Explorador apasionado. Aficionado al alcohol. Fanático de Twitter. Webaholic galardonado. Aficionado a la comida. Geek de la cultura pop. Organizador».