La faille affecte des centaines de millions de processeurs AMD pour ordinateurs de bureau et serveurs
Que vient-il de se passer ? Les chercheurs en sécurité présents au Def Con de cette année ont présenté leurs conclusions concernant une vulnérabilité de longue date, mais récemment découverte, dans les processeurs AMD, appelée « Sinkclose ». Bien que difficile à exploiter, cette faille de sécurité peut potentiellement avoir des conséquences catastrophiques pour tout système ayant le malheur d'en être victime.
Samedi, Enrique Nissim, consultant principal en sécurité d'IOActive, et Krzysztof Okupski, consultant principal associé en sécurité, ont présenté une étude de vulnérabilité dans une présentation intitulée AMD Sinkclose : Universal Ring-2 Privilege Escalation. Selon la présentation de l'équipe, son équipe a remarqué une faille dans l'un des composants nécessaires pour sécuriser un mode d'exécution connu sous le nom de mode de gestion du système. Ce mode permet aux attaquants d'accéder à une méthode d'exécution extrêmement polyvalente et puissante. L'exploit est invisible pour les protections au niveau du système d'exploitation telles que les solutions antivirus, antimalware et anti-triche couramment utilisées dans les jeux en ligne.
L'exploitation de cette vulnérabilité n'est pas simple (heureusement) et nécessite que l'attaquant accède d'abord au noyau du système. En cas de succès, l'attaquant peut utiliser les privilèges Ring-0 pour obtenir les privilèges Ring-2 afin d'installer un bootkit indétectable. Les bootkits sont des logiciels malveillants conçus pour cibler le secteur de démarrage principal d'un système. Une fois installés, ils ne peuvent pas être facilement détectés ou supprimés. Dans certains cas, une attaque réussie peut même persister malgré une réinstallation complète du système d'exploitation. Dans ces scénarios, une machine affectée peut nécessiter un remplacement complet plutôt qu'une suppression et une correction classiques des logiciels malveillants.
Bien qu'elle n'ait été signalée et suivie que récemment sous le numéro CVE-2023-31315, la vulnérabilité Sinkclose semble être un problème de longue date qui n'a pas été détecté sur de nombreux postes de travail et processeurs de classe serveur d'AMD au cours des 18 dernières années. Selon le bulletin de sécurité des produits d'AMD, la vulnérabilité affecte de nombreux processeurs sur ses processeurs de centre de données, ses solutions graphiques, ses processeurs embarqués, ses ordinateurs de bureau, ses HEDT, ses postes de travail et ses gammes de produits mobiles.
Les chercheurs d'IOActive ont révélé le problème à AMD 10 mois avant son annonce, ce qui a donné au fabricant de puces le temps de l'examiner et de le résoudre avant de le rendre public. Team Red a déjà publié des mesures d'atténuation pour les processeurs EPYC et Ryzen. Un porte-parole d'AMD a déclaré à Wired que des mesures d'atténuation supplémentaires pour les processeurs intégrés et d'autres produits concernés seraient bientôt disponibles. Cependant, la société n'a pas fourni de calendrier officiel.
Si les premières nouvelles et les dégâts potentiels peuvent paraître horribles, les utilisateurs peuvent être rassurés en sachant que la vulnérabilité est restée indétectée pendant près de deux décennies et qu'il semble que les pirates ne l'aient jamais exploitée. Compte tenu des efforts de correction d'AMD et de la difficulté inhérente à laquelle les attaquants seraient confrontés pour obtenir un accès au niveau du noyau, une exploitation généralisée de la vulnérabilité est hautement improbable.
