DEF CON 32: exponen una vulnerabilidad grave en AMD y un exploit en routers DrayTek
El segundo día tuvo algunos de los platos fuertes de la convención. Además, corren Pokémon en el badge y lo más destacado de la segunda jornada.
Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.
Edición especial - Cobertura Black Hat USA 2024 y DEF CON 32 desde Las Vegas, Nevada. El newsletter entra en un break hasta el 23 de agosto.
11 ago
⚡ TL;DR
“Quiero empezar preguntándoles a todos: ¿qué mierda pasó con nuestra vieja y querida internet?”: Cory Doctorow, escritor y crítico tech, disparó una catarata de aplausos con la pregunta con la que abrió su charla durante el segundo día de DEF CON.
Doctorow es un autor clave, no sólo de los tiempos que corren, sino de la edición 32 de la conferencia de hacking: la “enshittification” de internet es uno de los puntapiés del llamado al “engage” de este año.
La charla de Doctorow es una de las obligadas para ver este año: una mirada crítica sobre cómo las grandes plataformas, que solían ser buenas para los usuarios, ahora abusan de ellos en un ecosistema que, lejos de contenerlas, expande las raíces de sus monopolios (y “monopsonios”, ver acá). No llegué a tiempo para hacer un artículo aparte, aunque lo ameritaba: por eso, recomiendo buscarla cuando esté online.
Durante el segundo día estuvieron los platos fuertes a nivel charlas. En lo que respecta a las investigaciones locales, más argentinos expusieron sus trabajos, en este caso en “La Villa”, un espacio que debutó en esta edición de DEF CON para hispanoparlantes.
Mauro Eldritch, analista de amenazas de BCA, expuso un trabajo sobre grupos de ransomware más underground: “LockBit, Black Cat, REvil, Conti, son los más conocidos. Hay otro lado en la historia del ransomware: grupos que se quedaron en el camino”, dijo, junto a la hacker brasileña Cybelle. La charla giró en torno a contar casos públicamente conocidos, como el de CD Projekt RED, desarrollador de HelloKitty que fue atacado en 2021. Uno de los casos que mencionaron fue el de Everest, grupo que dijo haber atacado al Gobierno argentino, también en 2021.
Más tarde, Octavio Giannatiempo y Gastón Aznarez, de la empresa de ciberseguridad Faraday, dieron a conocer los resultados de una investigación de una serie de vulnerabilidades en routers DrayTek: “La investigación comenzó cuando un cliente de Faraday sufrió un incidente con malware y solicitó ayuda para resolver la situación. Durante la evaluación, descubrimos que varios routers DrayTek estaban desactualizados y vulnerables. Este hallazgo fue particularmente relevante dado el reciente aumento en ataques dirigidos a este tipo de dispositivos”, contó a Dark News Giannatiempo. Publiqué una nota con más detalles en Clarín.
Faraday ya tiene un historial en dar a conocer vulnerabilidades. El año pasado, en DEF CON 32, hicieron pública una investigación sobre cómo modificar el stream de video de un modelo de cámaras de Ezviv muy vendidas en América Latina. En 2022, dieron una charla en uno de los escenarios principales sobre una falla crítica en el sistema de desarrollo de Realtek, una empresa que fabrica semiconductores y que impactaba routers de todo el mundo, incluyendo algunos de los modelos de routers más vendidos de América Latina.
Una de las contribuciones más resonantes la hizo el argentino Enrique Nissim, quien expuso junto a su colega polaco Krzysztof Okupski una vulnerabilidad en procesadores AMD que permite conseguir permisos de administrador. Más abajo le dedico en esta entrega la mayor cantidad de tiempo a esto porque va a tener alto impacto.
Por fuera de las charlas, durante el segundo día pude recorrer más las villas. Una exposición llamó la atención a casi todos: un booth gigante de Inteligencia Artificial, donde había una experiencia distópica con un concurso organizado por DARPA para resolver problemas a nivel programación de los que dependían la infraestructura crítica de la ciudad. ¿El premio? 2 millones de dólares (quizás por eso era el único lugar de DEF CON donde tenían stands Microsoft, OpenIA y Google. Y la razón por la cual el ambiente estaba lleno de humo, literal).
En la Villa de IA, los asistentes podían crear su propio deepfake. El último dato de color, dentro de la enorme cantidad de cosas que pasan en DEF CON, es que dos hackers argentinos le instalaron una rom de Pokémon al badge. Dejo una selección de fotos:
Me quedo con la idea rectora de la conferencia, que siempre recuerda Jeff Moss: “DEF CON es lo que vos hacés de ella”.
En mi caso, 11 notas en total, entre Clarín y Dark News, cerca de 135 mil caracteres volcados entre ambas publicaciones. Pero también, y quizás más importante: DEF CON 32 fue conocer colegas que cubren estos temas en Estados Unidos, llevarme temas para escribir para la vuelta, entrevistar a Mikko Hyppönen, darle la mano a Doctorow, reencontrarme con viejos conocidos y, seguramente, haber forjado nuevos vínculos que en el futuro puedan ser fuentes para nuevas investigaciones.
DEF CON y Black Hat: hasta 2025.
Dark News #97
Leer este correo te va a llevar 12 minutos.
Dark News entra en un receso post Hacker Summer Camp y vuelve el viernes 23 de agosto de 2024.
Llega a Buenos Aires la XII edición de Media Party 2024, la conferencia de innovación en medios más grande de América latina. Se trata de un encuentro global para periodistas, diseñadores, emprendedores y expertos en tecnología, generando diálogos innovadores con impacto en el ecosistema de medios. Desde el 29 al 31 de agosto de 2024
💻 SinkClose, una falla grave en AMD desde 2006 hasta la actualidad
Un argentino descubrió una falla en todos los procesadores de AMD fabricados desde al menos 2006 hasta la actualidad, que brinda más privilegios a un hacker para tener control de un equipo ajeno. Enrique Nissim, un ingeniero en sistemas de la UTN, presentó junto a su colega polaco Krzysztof Okupski los resultados del research en DEF CON, la conferencia de hackers más grande del mundo, a la que asistió Dark News.
Se trata de un problema en un sector específico del procesador (CPU), el componente central de cualquier computadora, sea laptop, de escritorio, un teléfono o hasta los sistemas “embebidos” que vienen en otros dispositivos como los autos.
Desde que el usuario prende su dispositivo, el CPU ejecuta una serie de instrucciones en un orden determinado: Nissim, que trabaja para la empresa de seguridad IOActive, encontró esta falla leyendo documentación técnica, escribió junto a Okupski el método de explotación (exploit) y lo reportó a AMD. Lo llamaron “SinkClose” y afecta a todos los modelos desde al menos 2006 hasta la fecha.
Las vulnerabilidades son moneda corriente entre las empresas de tecnología y no es poco frecuente que investigadores externos encuentren estos problemas. El problema suele ocurrir cuando estas fallas llegan a manos de los hackers: por el momento, Nissim no publicó el paso a paso del fallo.
"El nombre es un juego de palabras porque en 2015 un investigador llamado Christopher Domas presentó una vulnerabilidad en procesadores Intel en Black Hat y DEF CON y la llamó ‘The Memory Sinkhole’. Es un ataque muy parecido, aunque con diferentes condiciones. Como no sabía qué nombre ponerle, usé la primera parte de ‘Sink-hole’ y, como el bug está en una función del procesador que se llama TClose, combiné la palabra ‘Close’ con ‘Sink’”, explicó en diálogo con este medio.
"Una vez que lo encontré, dejé pasar unos meses hasta que pude demostrarlo y ahí les mandé un reporte, en octubre del año pasado. AMD lo tomó y discutimos el impacto. Al principio se creía que se podía explotar sólo con presencia física, es decir, con el atacante frente al equipo. Pero no: con más investigación, probamos que no hace falta estar delante del equipo para explotarlo", agregó.
Por la gran cantidad de dispositivos que afecta, AMD emitió un comunicado oficial reconociendo el problema y asegurando que hay un parche para arreglarlo en camino.
Si bien Intel domina el mercado de los procesadores, AMD ganó mucho terreno durante la última década y no son pocos los usuarios de estos productos.
Cómo es la falla: la explicación técnica
La vulnerabilidad corre en lo que se conoce como “bajo nivel” en computación: mientras que Windows, Android o iOS suelen ser los sistemas operativos con los que interactúa habitualmente el usuario, antes de que estos se ejecuten corren una serie de procesos. Es decir, entre que el usuario aprieta el botón de ON para prender el equipo y lo puede utilizar, interviene la BIOS, que es un “firmware” (un software de bajo nivel) que provee lo básico para que el sistema operativo arranque (o “bootee”).
Nissim explicó el paso a paso de la vulnerabilidad a Dark News: “El BIOS de la máquina es esa parte que se encarga de iniciar el hardware, la memoria, enumerar todos los dispositivos y, una vez que tiene un mapa global de todo lo que existe en el hardware, le pasa el control al ‘loader’ del sistema operativo para cargar Windows, Linux, lo que sea".
“Ahora bien, uno de los pasos que hace el firmware antes de pasarle el control al ‘loader’, es preparar un área de memoria reservada para poner código especial que se va a ejecutar durante el tiempo que corra la computadora. Eso se llama System Management Mode (SMM) y es como una extensión del firmware en runtime”, agregó.
“Si dividís el proceso de ejecución de una computadora en dos, tenés la parte de booteo (inicio) y la de runtime, lo que ve el usuario cuando ya está ejecutando sus aplicaciones (Office, un navegador, lo que sea). Una vez que el sistema inició, el BIOS ya no corre más. Sin embargo, hay código adicional en la memoria, que está protegido y corre con privilegios más altos que el sistema operativo: ese es el SMM”, continúa.
El System Management Mode constituye así un modo de operación de un equipo con altos niveles de privilegio. Esto significa que, en esa instancia, un usuario puede ejecutar instrucciones en bajo nivel, un "ring", como se dice técnicamente, muy cercano al procesador.
"El SSM es un modo más de ejecución dentro de la arquitectura x86 [el set de instrucciones del equipo] y no debería, porque es código especializado del firmware que lo maneja el proveedor de la laptop o la PC. Bueno: con esta vulnerabilidad, se puede ejecutar código arbitrario en ese modo”, concluyó Nissim.
Si bien para poder explotar esta vulnerabilidad ya hay que tener acceso al equipo -mediante otra vulnerabilidad o malware-, lo que es interesante del descubrimiento es que puede permitirle a un atacante hacer algo muy preciado desde su punto de vista: persistir en un equipo.
"El código que corre en SMM es totalmente invisible a un antivirus o a un motor anti-cheat. Incluso si alguien quiere correr un cheat en un videojuego podría usar esto. Pero en muchos casos un atacante quiere persistir en una máquina y para eso necesitás un nivel de acceso más que sólo tener ejecución en el kernel [el núcleo del sistema operativo]” agrega.
“En sistemas modernos, con todas las protecciones puestas, llegar a System Management Mode da la opción de instalar un bootkit de igual manera. Si el sistema está medianamente desconfigurado, se puede instalar un implante en el firmware, en la flash: en ese caso, no te lo sacás de encima, ni siquiera desinstalando el sistema operativo, casi que tenés que tirar el procesador", explicó. Un bootkit es un programa malicioso que apunta a infectar el inicio de una computadora.
Cómo fue el descubrimiento y qué impacto tiene para el usuario
Nissim, de Resistencia, Chaco, estudió Ingeniería en Sistemas en la UTN y vive en Orlando, Florida, desde 2023. "Siempre programé, le vendía software a los compañeros en la facultad para los proyectos de las materias. Empecé trabajando en una empresa de soluciones IT, después pasé a Core Security", una empresa fundacional de la ciberseguridad en Argentina. Luego trabajó en Intel y ahora trabaja en IOActive, compañía de ciberseguridad con sede en Seattle.
El researcher, de 34 años, encontró la vulnerabilidad haciendo investigación para IOActive. Una vez que la detectó, trabajó con su colega Krzysztof Okupski, un polaco que vive en España hace seis años, en desarrollar el exploit. Cuando se detectan estas fallas, los investigadores suelen contactar a las compañías para avisarles de la vulnerabilidad.
"Veníamos haciendo research basado en plataformas de AMD, en principio empezamos a notar que no había mucha investigación, porque estaba todo enfocado en Intel. Había muchas herramientas públicas que detectan configuraciones malas en sistemas pero para Intel, entonces decidimos llevar el estado del arte a AMD", explicó Nissim que vive en Estados Unidos
"Si se quiere, el bug estaba a la vista en documentos técnicos desde 2006", agregó. Una vulnerabilidad con tanto tiempo y con tanto alcance no es tan común, con lo cual el descubrimiento es particularmente interesante por las derivas que pueda tener una vez que se haga público. "Estimamos que hay cientos de millones de chips afectados", arriesgó.
AMD tomó una buena porción del mercado, históricamente dominado por Intel, durante la última década con su producto estrella: Ryzen, que se caracteriza por ser muy buscado por gamers por su relación precio-calidad y ya lleva cinco generaciones. El bug Sinkhole no sólo afecta a estos procesadores, sino a los usados en servidores (EPYC) y Threadripper, orientados a investigación y machine learning.
"No sé si esto fue explotado por atacantes o no, nosotros escribimos un exploit funcional con mi colega Krzysztof que te permite ejecutar lo que quieras en este SSM. Todavía no lo liberamos porque hablamos con AMD y vamos a esperar unas semanas más", agregó.
El bug ya tiene CVE (el sistema utilizado para registrar vulnerabilidades, Common Vulnerabilities and Exposures) y AMD se pronunció, en declaraciones al medio especializado Wired: “Lanzamos opciones de mitigación para los productos AMD EPYC y AMD Ryzen, con mitigaciones par sistemas embebidos próximamente”.
Nissim insiste, por su parte, en que el valor que tiene esta vulnerabilidad para un atacante es el de ganar persistencia en un equipo, algo muy buscado por hackers patrocinados por Estados y amenazas avanzadas, con poder de fuego técnico, conocidas como APT (Advanced Persistent Threats).
La charla en DEF CON generó aplausos de los asistentes, luego de que los investigadores hicieran una demo técnica para demostrar el exploit en acción. La lista de chips afectados se puede ver en la página oficial de AMD.
La conferencia de DEF CON estará disponible pronto para ver online.
Con años de experiencia en diagnóstico y solución de problemas IT, Buanzo Consulting trabaja en la detección temprana de vulnerabilidades y fallos en redes. Con experiencia en el mundo del código abierto y la innovación, ofrece consultoría orientada a soluciones precisas y personalizadas, asegurando que los proyectos no sólo sobrevivan, sino que prosperen.
Y más fotos para cerrar: