AMD lanzará nueva AGESA V2 1.2.0.E (AM4) para parchear una vulnerabilidad en las CPU Zen 2, Zen 3 y Zen 4, nuevas BIOS/UEFI en camino

A principios de este mes y en silencio, AMD alertó de una vulnerabilidad de grado medio para algunas de sus CPU, la cual fue descubierta por los investigadores de Google. Hoy tenemos la primera muestra de que los rojos no van a dejar de lado a los usuarios, y esto lo sabemos por ciertos detalles clave: nuevo Checksum y nueva versión de AGESA V2 1.2.0.E (AM4) para parchear la vulnerabilidad denominada como CVE-2024-36347, pero, ¿de qué trata esta?

Denominada como “AMD Microcode Signature Verification Vulnerability”, la compañía fue avisada por primera vez a finales del año pasado, y a principios de este mes terminó el plazo para publicar dicha vulnerabilidad de forma oficial. Los rojos no tenían preparado el parche, mientras que los SO sí que lanzaron sus medidas de prevención y mitigación, sobre todo Linux. Ahora, AMD ofrece solución definitiva al problema.

“AMD Microcode Signature Verification Vulnerability”, la vulnerabilidad CVE-2024-36347 que afecta a una gran cantidad de arquitecturas

La vulnerabilidad no está considerada como grave, pero es común a nada menos que tres arquitecturas generales: Zen 2, Zen 3 y Zen 4, además, sin distinción de si es para PC, portátiles o servidores. Cualquier procesador con estas arquitecturas tiene ahora mismo un problema de seguridad, que algunas distribuciones de Linux parchearon, pocas, eso sí, y donde Microsoft ha tenido que esperar al movimiento de los rojos. AMD la explica de la siguiente forma:

Esta vulnerabilidad podría permitir que un atacante con privilegios de administrador del sistema cargue parches maliciosos de microcódigo de CPU. En el informe, los investigadores describen cómo lograron cargar parches no firmados por AMD. También demuestran cómo falsificaron firmas para parches de microcódigo arbitrarios.

AMD no ha recibido ningún informe de que este ataque haya ocurrido en ningún sistema.

AMD cree que este problema se debe a una debilidad en el algoritmo de verificación de firmas que podría permitir que un atacante con privilegios de administrador cargue parches de microcódigo arbitrarios. AMD planea implementar medidas de mitigación para solucionar este problema.

Pues bien, esta respuesta está a punto de llegar como bien prometió la compañía, y esto incluye a la plataforma AM4.

¿Qué microarquitecturas hay afectadas?

Pues son bastantes y conviene tenerlas en cuenta y bien claras:

• Servidores -> Naples, Rome, Milan y Milan-X, Genoa y Genoa-X, Bergamo, Sinea y Raphael.
• PC y portátiles -> Vermeer, Cezanne, Matisse, Picasso, Raphael X3D, Renoir y Phoenix, Lucienne, Dali, Mendocino, Rembrandt, Barcelo, Hawk Point, Dragon Range.
• HEDT y Workstation -> Castle Peak, Storm Peak y Chagall.

Como vemos, el alcance es brutal, y por ello, la solución ha tardado en llegar. Dicha solución a modo de parche, total o paliativo, para CVE-2024-36347 viene referida como AGESA V2, diferenciando la versión según la plataforma:

• AM4 -> 1.2.0.E o 1.0.0.D
• Servidores -> 1.0.0.P o 1.0.0.L o 1.0.0.F o 1.0.0.E o 1.2.0.3
• MI Instinct -> 1.0.0.8
• AM5 -> 1.2.0.3
• HEDT -> 1.0.0.E o 1.1.0.0i
• WS -> 1.0.0.g o 1.0.0.B
• Portátiles y mobile -> 1.0.1.2b o 1.0.0.Eb o 1.0.1.1b o 1.0.0.7b o 1.0.0.Bd o 1.2.0.0 o 1.0.0.3g

El resto de versiones son para equipos OEM donde ya cada fabricante buscará lanzar sus UEFI concretas, así que tienes que estar atento, si es tu caso, a la web del fabricante de tu PC. Sea como fuere, en breve la CVE-2024-36347 quedará para el olvido, que no se te pase actualizar.