Una nueva falla de AMD SinkClose ayuda a instalar malware casi indetectable

Iniciado por AXCESS, Agosto 12, 2024, 02:03:49 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Agosto 12, 2024, 02:03:49 AM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

AMD advierte sobre una vulnerabilidad de CPU de alta gravedad denominada SinkClose que afecta a varias generaciones de sus procesadores EPYC, Ryzen y Threadripper. La vulnerabilidad permite a los atacantes con privilegios de nivel de kernel (Ring 0) obtener privilegios de Ring -2 e instalar malware que se vuelve casi indetectable.

Ring -2 es uno de los niveles de privilegio más altos en una computadora, que se ejecuta por encima de Ring -1 (usado para hipervisores y virtualización de CPU) y Ring 0, que es el nivel de privilegio utilizado por el kernel de un sistema operativo.

El nivel de privilegio Ring -2 está asociado con la función System Management Mode (SMM) de las CPU modernas. SMM maneja la administración de energía, el control de hardware, la seguridad y otras operaciones de bajo nivel necesarias para la estabilidad del sistema.

Debido a su alto nivel de privilegio, SMM está aislado del sistema operativo para evitar que los actores de amenazas y el malware lo ataquen fácilmente.

Fallo de CPU SinkClose

El fallo, que se conoce como CVE-2023-31315 y se ha calificado de alta gravedad (puntuación CVSS: 7,5), fue descubierto por Enrique Nissim y Krzysztof Okupski, de IOActive, que bautizaron el ataque de elevación de privilegios como "Sinkclose".

Los investigadores presentarán los detalles del ataque en una charla de DefCon titulada "AMD Sinkclose: Universal Ring-2 Privilege Escalation".

Los investigadores informan de que Sinkclose ha pasado desapercibido durante casi 20 años, afectando a una amplia gama de modelos de chips AMD.

El fallo SinkClose permite a los atacantes con acceso a nivel de kernel (Ring 0) modificar la configuración del modo de gestión del sistema (SMM), incluso cuando el bloqueo de SMM está habilitado. Este fallo podría utilizarse para desactivar las funciones de seguridad e instalar malware persistente y prácticamente indetectable en un dispositivo.

El Ring 2 está aislado y es invisible para el sistema operativo y el hipervisor, por lo que las herramientas de seguridad que se ejecutan en el sistema operativo no pueden detectar ni remediar ninguna modificación maliciosa realizada en este nivel.

Okupski le dijo a Wired que la única forma de detectar y eliminar el malware instalado con SinkClose sería conectarse físicamente a las CPU con una herramienta llamada programador SPI Flash y escanear la memoria en busca de malware.

Según el aviso de AMD, los siguientes modelos están afectados:

EPYC 1.ª, 2.ª, 3.ª y 4.ª generación

EPYC Embedded 3000, 7002, 7003 y 9003, R1000, R2000, 5000 y 7000

Ryzen Embedded V1000, V2000 y V3000

Ryzen series 3000, 5000, 4000, 7000 y 8000

Ryzen series 3000 Mobile, 5000 Mobile, 4000 Mobile y 7000 Mobile

Ryzen Threadripper series 3000 y 7000

AMD Threadripper PRO (Castle Peak WS SP3, Chagall WS)

AMD Athlon serie 3000 Mobile (Dali, Pollock)

AMD Instinct MI300A

AMD afirmó en su aviso que ya ha lanzado soluciones para sus CPU de escritorio y móviles EPYC y AMD Ryzen, y que más adelante se publicarán más correcciones para las CPU integradas.

Implicaciones reales y respuesta

El acceso a nivel de kernel es un requisito previo para llevar a cabo el ataque Sinkclose. AMD lo señaló en una declaración a Wired, subrayando la dificultad de explotar CVE-2023-31315 en escenarios del mundo real.

Sin embargo, IOActive respondió diciendo que las vulnerabilidades a nivel de kernel, aunque no están muy extendidas, seguramente no son poco comunes en ataques sofisticados, lo que es cierto según los ataques anteriores cubiertos por BleepingComputer.

Los actores de amenazas persistentes avanzadas (APT), como el grupo norcoreano Lazarus, han estado utilizando técnicas BYOVD (traiga su propio controlador vulnerable) o incluso aprovechando fallas de Windows de día cero para aumentar sus privilegios y obtener acceso a nivel de kernel.

Las bandas de ransomware también utilizan tácticas BYOVD, empleando herramientas de eliminación de EDR personalizadas que venden a otros cibercriminales para obtener ganancias adicionales.

Los notorios especialistas en ingeniería social Scattered Spider también han sido vistos aprovechando BYOVD para desactivar productos de seguridad.

Estos ataques son posibles a través de varias herramientas, desde controladores firmados por Microsoft, controladores antivirus, controladores de gráficos MSI, controladores OEM con errores e incluso herramientas antitrampas para juegos que disfrutan de acceso a nivel de kernel.

Dicho esto, Sinkclose podría representar una amenaza importante para las organizaciones que utilizan sistemas basados en AMD, especialmente por parte de actores de amenazas sofisticados y patrocinados por el estado, y no debe ignorarse.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario