AMD reveló que su popular utilidad de software Ryzen Master, que habilita las capacidades de overclocking y monitoreo de CPU para su línea de procesadores de consumo, tiene una nueva vulnerabilidad, clasificada 7.2 (Alta), que podría permitir que un atacante asuma el control completo del sistema. AMD ha publicado una nueva versión actualizada de Ryzen Master para Windows 10 y Windows 11 que corrige el problema.
AMD señala que el problema se debe a que no se validó el nivel de privilegios de un usuario durante el proceso de instalación de Ryzen Master, lo que «puede permitir que un atacante con privilegios bajos modifique archivos que podrían conducir a una escalada de privilegios y ejecución de código por parte del usuario con menos privilegios».
Esto significa que un usuario con un nivel de privilegio bajo en una computadora podría usar una versión anterior de Ryzen Master para obtener acceso de administrador y, en última instancia, el control total del sistema mediante la alteración de archivos importantes del sistema. Sin embargo, no está claro si un usuario sin acceso de administrador podría usar la utilidad de instalación anterior para facilitar un ataque.
AMD Ryzen Master también proporciona varias capacidades que permiten un control detallado del sistema, como el acceso a voltajes cambiantes y frecuencias de reloj en tiempo real. No está claro si esas características, si son accesibles para un usuario de bajo nivel, podrían usarse para ataques de temporización de voltaje y reloj en la misma línea que Hertzbleed y Plundervolt. Estamos en contacto con AMD para obtener más aclaraciones.
AMD solucionó un problema anterior con Ryzen Master, descubierto por HP en 2020 (se abre en una pestaña nueva), que también permitía la escalada de privilegios (CVE-2020-12928). La compañía corrigió recientemente un error que permitía que los controladores de su tarjeta gráfica hicieran overclocking automático de la CPU sin permiso, y también reveló 31 vulnerabilidades descubiertas recientemente el mes pasado.
AMD recomienda actualizar al menos a la versión 2.10.1.2287 para actualizar el software y corregir la vulnerabilidad. La nueva versión tiene algunas otras mejoras notables sobre la versión existente, incluida la adición de soporte para establecer una temperatura máxima de funcionamiento, lo que ralentizaría el procesador una vez que exceda una temperatura asignada. Ryzen Master ahora también le permite asignar un voltaje superior a 5,2 V, que está mucho más allá del voltaje de funcionamiento normal (no haga esto a menos que sepa lo que está haciendo). Naturalmente, la mayoría de los usuarios no necesitarán esa capacidad para los chips existentes, pero es útil para los overclockers extremos y podría resultar útil para los modelos futuros. En particular, no todas las funciones son compatibles con los procesadores más antiguos.
A la nueva vulnerabilidad se le asigna el identificador CVE-2022-27677 y se publicó en una divulgación de vulnerabilidad coordinada con Conor McNamara.