AMD advierte sobre una vulnerabilidad de CPU de alta gravedad denominada SinkClose que afecta a varias generaciones de sus procesadores EPYC, Ryzen y Threadripper. La vulnerabilidad permite a los atacantes con privilegios de nivel de kernel (Ring 0) obtener privilegios de Ring -2 e instalar malware que se vuelve casi indetectable.

Ring -2 es uno de los niveles de privilegio más altos en una computadora, que se ejecuta por encima de Ring -1 (usado para hipervisores y virtualización de CPU) y Ring 0, que es el nivel de privilegio utilizado por el kernel de un sistema operativo.

El nivel de privilegio Ring -2 está asociado con la función System Management Mode (SMM) de las CPU modernas. SMM maneja la administración de energía, el control de hardware, la seguridad y otras operaciones de bajo nivel necesarias para la estabilidad del sistema.

Debido a su alto nivel de privilegio, SMM está aislado del sistema operativo para evitar que los actores de amenazas y el malware lo ataquen fácilmente.

Fallo de CPU SinkClose

Identificado como CVE-2023-31315 y calificado como de alta gravedad (puntuación CVSS: 7,5), el fallo fue descubierto por Enrique Nissim y Krzysztof Okupski de IOActive, quienes denominaron al ataque de elevación de privilegios "Sinkclose".

Enrique Nissim, un ingeniero en sistemas de la UTN, presentó junto a su colega polaco Krzysztof Okupski. Nissim, que trabaja para la empresa de seguridad IOActive, encontró esta falla leyendo documentación técnica, escribió junto a Okupski el método de explotación (exploit) y lo reportó a AMD..

Los investigadores de IOActive presentaron los detalles completos sobre el ataque en una charla de DefCon titulada "AMD Sinkclose: Universal Ring-2 Privilege Escalation". Los investigadores informan que Sinkclose ha pasado desapercibido durante casi 20 años, afectando a una amplia gama de modelos de chips AMD.

El fallo SinkClose permite a los atacantes con acceso a nivel de kernel (Ring 0) modificar la configuración del modo de administración del sistema (SMM), incluso cuando el bloqueo de SMM está habilitado. Este fallo podría usarse para desactivar las funciones de seguridad e instalar malware persistente y prácticamente indetectable en un dispositivo.

El anillo -2 está aislado y es invisible para el sistema operativo y el hipervisor, por lo que las herramientas de seguridad que se ejecutan en el sistema operativo no pueden detectar ni remediar ninguna modificación maliciosa realizada en este nivel.

Okupski le dijo a Wired que la única forma de detectar y eliminar el malware instalado con SinkClose sería conectarse físicamente a las CPU con una herramienta llamada programador SPI Flash y escanear la memoria en busca de malware.

Según el aviso de AMD, los siguientes modelos están afectados:

• EPYC 1.ª, 2.ª, 3.ª y 4.ª generación
• EPYC Embedded 3000, 7002, 7003 y 9003, R1000, R2000, 5000 y 7000
• Ryzen Embedded V1000, V2000 y V3000
• Ryzen series 3000, 5000, 4000, 7000 y 8000
• Ryzen series 3000 Mobile, 5000 Mobile, 4000 Mobile y 7000 Mobile
• Ryzen Threadripper series 3000 y 7000
• AMD Threadripper PRO (Castle Peak WS SP3, Chagall WS)
• AMD Athlon serie 3000 Mobile (Dali, Pollock)
• AMD Instinct MI300A

AMD afirmó en su aviso que ya ha publicado mitigaciones para sus CPU de escritorio y móviles EPYC y AMD Ryzen, y que más adelante habrá más correcciones para las CPU integradas.

Implicaciones reales y respuesta

El acceso a nivel de kernel es un requisito previo para llevar a cabo el ataque Sinkclose. AMD señaló esto en una declaración a Wired, subrayando la dificultad de explotar CVE-2023-31315 en escenarios del mundo real.

Sin embargo, IOActive respondió diciendo que las vulnerabilidades a nivel de kernel, aunque no están muy extendidas, seguramente no son poco comunes en ataques sofisticados, lo que es cierto según los ataques anteriores conocidos.

Los actores de amenazas persistentes avanzadas (APT), como el grupo norcoreano Lazarus, han estado utilizando técnicas BYOVD (traiga su propio controlador vulnerable) o incluso aprovechando fallas de Zero-Day de Windows para escalar sus privilegios y obtener acceso a nivel de kernel.

Las bandas de ransomware también utilizan tácticas BYOVD, empleando herramientas de eliminación de EDR personalizadas que venden a otros cibercriminales para obtener ganancias adicionales.

Los notorios especialistas en ingeniería social Scattered Spider también han sido vistos aprovechando BYOVD para desactivar productos de seguridad.

Estos ataques son posibles a través de varias herramientas, desde Microsoft-signed drivers, anti-virus drivers,, MSI graphics drivers, bugged OEM drivers, e incluso herramietnas anti-cheat en juegos que "disfrutan" de acceso a nivel de kernel.

Dicho todo esto, Sinkclose podría representar una amenaza significativa para las organizaciones que utilizan sistemas basados ​​en AMD, especialmente por parte de actores de amenazas sofisticados y patrocinados por el estado, y no debe ignorarse.

Fuente: BC