La Amenaza de Sinkclose: Una Vulnerabilidad de 18 Años
Investigadores de ciberseguridad han identificado una grave vulnerabilidad en millones de procesadores AMD lanzados desde 2006, que podría permitir a ciberdelincuentes ejecutar software malicioso con privilegios elevados y difíciles de detectar. Esta vulnerabilidad, conocida como “Sinkclose” y catalogada como CVE-2023-31315, afecta a una amplia gama de CPUs de AMD, lo que plantea un riesgo significativo para usuarios y organizaciones.
La Amenaza del Modo de Gestión del Sistema (SMM)
Sinkclose permite a los atacantes acceder al Modo de Administración o Gestión del Sistema (SMM, por sus siglas en inglés), un nivel de privilegio extremadamente alto en los sistemas informáticos, que opera en el llamado Ring -2, por debajo incluso del núcleo del sistema operativo (Ring 0). Este acceso concede a los ciberdelincuentes un control casi total sobre el sistema, haciendo que su presencia sea prácticamente imperceptible y complicando enormemente su detección y eliminación.
Un Riesgo Persistente y Difícil de Mitigar
Los expertos de IOActive, Enrique Nissim y Krzysztof Okupski, quienes revelaron los detalles en una entrevista con Wired, señalaron que esta vulnerabilidad ha pasado desapercibida durante 18 años, lo que la convierte en una amenaza duradera y oculta en millones de dispositivos. Según los investigadores, el tipo de malware que explota esta falla, conocido como “bootkit”, puede reemplazar el cargador de arranque de un sistema operativo, haciendo que los antivirus convencionales sean inútiles.
Además, la profundidad en la que opera este malware lo hace casi invisible para el sistema operativo, lo que le permite manipular y supervisar la actividad del sistema sin ser detectado. Nissim y Okupski advirtieron que, en muchos casos, la eliminación de este tipo de infección puede ser tan complicada que puede ser más práctico desechar el equipo afectado que intentar limpiarlo.
Respuesta de AMD y Medidas de Mitigación
AMD ha reconocido la existencia de la vulnerabilidad Sinkclose y ha comenzado a lanzar parches de seguridad para mitigar el riesgo en algunos de sus productos más recientes, como las series AMD Epyc y AMD Ryzen para PC. La empresa también ha anunciado que próximamente estarán disponibles actualizaciones para otros productos integrados en dispositivos industriales y automóviles.
Sin embargo, algunas de las series de procesadores más populares entre los consumidores, como Ryzen 3000, Ryzen 9000 y Ryzen AI 300 Series, no están incluidas en estas actualizaciones, según ha informado Tom’s Hardware. AMD ha explicado que, aunque la vulnerabilidad es difícil de explotar, requiere que el atacante tenga acceso al kernel del sistema para llevar a cabo un ataque exitoso.
Próximas Actualizaciones de Seguridad
Los investigadores han adelantado que se espera que los parches para corregir Sinkclose se integren en las próximas actualizaciones de seguridad de Microsoft. Asimismo, las soluciones para sistemas y PC que operan con Linux se implementarán gradualmente en los próximos meses.