En una declaración a WIRED, AMD destacó la dificultad de explotar Sinkclose: para aprovechar la vulnerabilidad, un hacker debe tener acceso al núcleo de un ordenador, el núcleo de su sistema operativo. AMD compara la técnica Sinkhole con un método para acceder a las cajas de seguridad de un banco después de haber burlado sus alarmas, los guardias y la puerta de la bóveda.
Nissim y Okupski responden que, si bien explotar Sinkclose requiere acceso a nivel de kernel a una máquina, este tipo de vulnerabilidades se exponen en Windows y Linux prácticamente todos los meses. Argumentan que los hackers sofisticados patrocinados por el estado del tipo que podrían aprovechar Sinkclose probablemente ya posean técnicas para explotar esas vulnerabilidades, conocidas o desconocidas. “La gente tiene ahora mismo exploits de kernel para todos estos sistemas”, dice Nissim. “Existen y están disponibles para los atacantes. Este es el siguiente paso”.
Los investigadores de IOActive Krzysztof Okupski (izquierda) y Enrique Nissim.Fotografía: Roger Kisby
La técnica Sinkclose de Nissim y Okupski funciona explotando una característica poco conocida de los chips AMD conocida como TClose. (De hecho, el nombre Sinkclose proviene de la combinación de ese término TClose con Sinkhole, el nombre de un exploit anterior del modo de administración del sistema encontrado en chips Intel en 2015). En las máquinas basadas en AMD, una protección conocida como TSeg evita que los sistemas operativos de la computadora escriban en una parte protegida de la memoria que se supone que está reservada para el modo de administración del sistema, conocida como memoria de acceso aleatorio de administración del sistema o SMRAM. Sin embargo, la característica TClose de AMD está diseñada para permitir que las computadoras sigan siendo compatibles con dispositivos más antiguos que usan las mismas direcciones de memoria que SMRAM, reasignando otra memoria a esas direcciones SMRAM cuando está habilitada. Nissim y Okupski descubrieron que, con solo el nivel de privilegios del sistema operativo, podían usar esa función de reasignación de TClose para engañar al código SMM para que obtenga datos que ellos han alterado, de una manera que les permite redirigir el procesador y hacer que ejecute su propio código en el mismo nivel SMM altamente privilegiado.
“Creo que es el error más complejo que he explotado jamás”, afirma Okupski.
Nissim y Okupski, ambos especialistas en la seguridad de código de bajo nivel como el firmware de procesadores, dicen que decidieron investigar la arquitectura de AMD hace dos años, simplemente porque sentían que no había recibido suficiente escrutinio en comparación con Intel, incluso cuando su participación de mercado aumentó. Encontraron el caso crítico de TClose que permitió Sinkclose, dicen, simplemente leyendo y releyendo la documentación de AMD. “Creo que leí la página donde estaba la vulnerabilidad unas mil veces”, dice Nissim. “Y luego, en la mil una, me di cuenta”. Alertaron a AMD sobre la falla en octubre del año pasado, dicen, pero esperaron casi 10 meses para darle a AMD más tiempo para preparar una solución.
Para los usuarios que buscan protegerse, Nissim y Okupski dicen que para las máquinas Windows (probablemente la gran mayoría de los sistemas afectados) esperan que los parches para Sinkclose se integren en las actualizaciones compartidas por los fabricantes de computadoras con Microsoft, quien los incorporará en futuras actualizaciones del sistema operativo. Los parches para servidores, sistemas integrados y máquinas Linux pueden ser más fragmentados y manuales; para las máquinas Linux, dependerá en parte de la distribución de Linux que tenga instalada la computadora.
Nissim y Okupski dicen que acordaron con AMD no publicar ningún código de prueba de concepto para su exploit Sinkclose durante varios meses, con el fin de dar más tiempo para que se solucione el problema. Pero argumentan que, a pesar de cualquier intento por parte de AMD u otros de restarle importancia a Sinkclose por considerarlo demasiado difícil de explotar, eso no debería impedir que los usuarios apliquen el parche lo antes posible. Es posible que los hackers sofisticados ya hayan descubierto su técnica, o que descubran cómo hacerlo después de que Nissim y Okupski presenten sus hallazgos en Defcon.
Aunque Sinkclose requiere un acceso relativamente profundo, advierten los investigadores de IOActive, el nivel de control mucho más profundo que ofrece significa que los objetivos potenciales no deberían esperar para implementar cualquier solución disponible. “Si la base está rota”, dice Nissim, “entonces la seguridad de todo el sistema está rota”.
Actualizado a las 9 a. m., hora del Este, 9/8/2024: después de la publicación de este artículo, AMD actualizó su página de boletines de seguridad para incluir una lista de chips afectado por Sinkclose.
