Un grupo de investigadores en ciberseguridad ha descubierto una grave vulnerabilidad en los procesadores AMD que ha estado presente durante décadas, afectando a cientos de millones de PCs y servidores en todo el mundo. Esta falla, denominada «Sinkclose», permite a los atacantes ejecutar su propio código en el modo más privilegiado de un procesador AMD, conocido como Modo de Gestión del Sistema (SMM), una parte del firmware que controla aspectos fundamentales del funcionamiento del sistema operativo.
El fallo Sinkclose, que afecta a prácticamente todos los procesadores AMD desde 2006, permite que un atacante, que ya haya obtenido acceso a un PC o servidor basado en AMD, pueda insertar malware a un nivel tan profundo en la memoria del sistema que podría resultar casi imposible de eliminar. Según los investigadores Enrique Nissim y Krzysztof Okupski de la firma de seguridad IOActive, quienes presentaron sus hallazgos en la conferencia Defcon, en algunos casos, la infección podría sobrevivir incluso a una reinstalación del sistema operativo, haciendo que la única opción viable sea desechar el equipo infectado.
Una de las características más preocupantes de esta vulnerabilidad es que podría ser utilizada para crear un bootkit, un tipo de malware que se carga antes que el sistema operativo y que es invisible para las herramientas antivirus y el propio sistema operativo. Esto ofrece al atacante un control total sobre la máquina y la capacidad de monitorear sus actividades.
AMD ha reconocido la existencia de esta vulnerabilidad y ha lanzado opciones de mitigación para sus productos, incluyendo los procesadores AMD EPYC para centros de datos y AMD Ryzen para PCs. Sin embargo, no han proporcionado detalles específicos sobre cómo planean solucionar este problema para todos los dispositivos afectados. La empresa también ha enfatizado la dificultad de explotar esta vulnerabilidad, señalando que un atacante necesitaría tener acceso a un nivel muy profundo del sistema operativo.
A pesar de esto, Nissim y Okupski advierten que los hackers sofisticados, como los patrocinados por estados, ya podrían tener las herramientas necesarias para explotar esta vulnerabilidad, dado que existen exploits de nivel kernel disponibles para sistemas operativos como Windows y Linux.
Para los usuarios de Windows, se espera que las actualizaciones necesarias para mitigar Sinkclose se integren en las futuras actualizaciones del sistema operativo. Sin embargo, los parches para servidores, sistemas embebidos y máquinas Linux podrían requerir una implementación más manual y dependerán del tipo de distribución Linux que utilice el equipo.
Aunque los investigadores han acordado no publicar el código de prueba de concepto de Sinkclose durante varios meses para dar tiempo a que se implementen las soluciones, instan a los usuarios a aplicar cualquier parche disponible lo antes posible. La profundidad del acceso que ofrece Sinkclose podría comprometer gravemente la seguridad de cualquier sistema afectado si no se toman las medidas necesarias.