Un fallo en chips AMD permite infecciones prácticamente imposibles de solucionar en las computadoras
Los fallos de seguridad en el firmware de la computadora, el código oculto que se carga en primer lugar al encender la máquina y que controla incluso el arranque del sistema operativo, han sido durante mucho tiempo un objetivo para los hackers que buscan un punto de apoyo sigiloso. Pero solamente en raras ocasiones aparece este tipo de vulnerabilidad, no en el firmware de un fabricante concreto de computadoras, sino en los chips que se encuentran en cientos de millones de PC y servidores. Ahora, unos investigadores de seguridad han descubierto un fallo de este tipo que persiste en los procesadores AMD desde hace décadas y que permitiría al malware introducirse en la memoria de un computadora hasta el punto de que, en muchos casos, sería más fácil desechar la máquina que desinfectarla.
Enrique Nissim y Krzysztof Okupski, investigadores de la empresa de seguridad IOActive, tienen previsto presentar mañana en la conferencia de hackers Defcon una vulnerabilidad de los chips AMD a la que han llamado Sinkclose. El fallo permitiría a los hackers ejecutar su propio código en uno de los modos más privilegiados de un procesador AMD, conocido como “Modo de Gestión del Sistema”, diseñado para estar reservado únicamente a una parte específica y protegida de su firmware. Los investigadores de IOActive advierten que afecta prácticamente a todos los chips AMD que datan de 2006, o posiblemente incluso antes.
Nissim y Okupski señalan que para explotar el fallo sería necesario que los hackers ya hubieran obtenido un acceso relativamente profundo a un PC o servidor con base en AMD, pero que el fallo “Sinkclose” les permitiría entonces plantar su código malicioso a mucha más profundidad aún. De hecho, para cualquier máquina con uno de los chips AMD vulnerables, los investigadores de IOActive advierten que un atacante podría infectar la computadora con un malware conocido como «bootkit» que elude las herramientas antivirus y es potencialmente invisible para el sistema operativo, al tiempo que ofrece a un hacker acceso completo para manipular la máquina y vigilar su actividad. En el caso de los sistemas con ciertas configuraciones defectuosas en la forma en que el fabricante de la computadora implementó la función de seguridad de AMD conocida como Platform Secure Boot (que, según advierten los investigadores, engloba a la gran mayoría de los sistemas que probaron), una infección de malware instalada a través de Sinkclose podría ser aún más difícil de detectar o remediar, afirman, sobreviviendo incluso a una reinstalación del sistema operativo.
Computadora a la basura
“Imagínate que un hacker nacional o quien sea quiere introducirse en tu sistema. Solamente abriendo la carcasa del computadora, conectándose físicamente de forma directa a una determinada parte de sus chips de memoria con una herramienta de programación con base en hardware conocida como programador ”SPI Flash» y revisando meticulosamente la memoria se podría eliminar el malware, según Okupski.
Nissim resume ese peor escenario en términos más prácticos: «Básicamente tienes que tirar la computadora».
En un comunicado compartido con WIRED, AMD reconoció los hallazgos de IOActive, agradeció a los investigadores por su trabajo y señaló que ha «lanzado opciones de mitigación para sus productos de centro de datos AMD EPYC y productos de PC AMD Ryzen, con mitigaciones para productos embebidos AMD próximamente» (El término «embebido», en este caso, se refiere a los chips AMD que se encuentran en sistemas como dispositivos industriales y automóviles). Para sus procesadores EPYC diseñados para su uso en servidores de centros de datos, específicamente, la compañía señaló que lanzó parches a principios de este año. AMD declinó responder por adelantado a preguntas sobre cómo pretende solucionar la vulnerabilidad Sinkclose, o exactamente para qué dispositivos y cuándo, pero señaló una lista completa de los productos afectados que se puede encontrar en la página del boletín de seguridad de su sitio web.
