Des chercheurs révèlent la vulnérabilité « Sinkclose » affectant presque tous les processeurs AMD depuis 2006
Les chercheurs en sécurité présents au Def Con de cette année ont présenté leurs conclusions concernant une vulnérabilité de longue date, mais récemment découverte, dans les processeurs AMD, appelée « Sinkclose ». Bien que difficile à exploiter, cette faille de sécurité peut potentiellement avoir des conséquences catastrophiques pour tout système ayant le malheur d'en être victime.
Samedi, Enrique Nissim, consultant principal en sécurité d'IOActive, et Krzysztof Okupski, consultant principal associé en sécurité, ont présenté une étude de vulnérabilité dans une présentation intitulée AMD Sinkclose : Universal Ring-2 Privilege Escalation. Selon la présentation de l'équipe, son équipe a remarqué une faille dans l'un des composants nécessaires pour sécuriser un mode d'exécution connu sous le nom de mode de gestion du système. Ce mode permet aux attaquants d'accéder à une méthode d'exécution extrêmement polyvalente et puissante. L'exploit est invisible pour les protections au niveau du système d'exploitation telles que les solutions antivirus, antimalware et anti-triche couramment utilisées dans les jeux en ligne.
L'exploitation de cette vulnérabilité n'est pas simple (heureusement) et nécessite que l'attaquant accède d'abord au noyau du système. En cas de succès, le malfaiteur peut utiliser les privilèges Ring-0 pour obtenir les privilèges Ring-2 afin d'installer un bootkit indétectable. Les bootkits sont des logiciels malveillants conçus pour cibler le master boot record d'un système. Une fois installés, ils ne peuvent pas être facilement détectés ou supprimés. Dans certains cas, une attaque réussie peut même persister malgré une réinstallation complète du système d'exploitation. Dans ces scénarios, une machine affectée peut nécessiter un remplacement complet plutôt qu'une suppression et une correction classiques des logiciels malveillants.
Bien qu'elle n'ait été signalée et suivie que récemment sous le numéro CVE-2023-31315, la vulnérabilité Sinkclose semble être un problème de longue date qui n'a pas été détecté dans de nombreuses stations de travail et processeurs de classe serveur d'AMD au cours des 18 dernières années. Selon le bulletin de sécurité des produits d'AMD, la vulnérabilité affecte de nombreux processeurs dans ses processeurs de centre de données, ses solutions graphiques, ses processeurs intégrés, ses ordinateurs de bureau, ses HEDT, ses stations de travail et ses gammes de produits mobiles.
Les chercheurs d'IOActive ont révélé le problème à AMD 10 mois avant son annonce, ce qui a donné au fabricant de puces le temps de l'examiner et de le résoudre avant de le rendre public. Team Red a déjà publié des mesures d'atténuation pour les processeurs EPYC et Ryzen. Un porte-parole d'AMD a déclaré à Wired que des mesures d'atténuation supplémentaires pour les processeurs intégrés et d'autres produits concernés seraient bientôt disponibles. Cependant, la société n'a pas fourni de calendrier officiel.
Bien que les premières nouvelles et les dommages potentiels puissent sembler horribles, les utilisateurs peuvent être rassurés en sachant que la vulnérabilité est passée inaperçue pendant près de deux décennies et qu'il semble que les pirates ne l'aient jamais exploitée. Compte tenu des efforts de remédiation d'AMD et de la difficulté inhérente aux attaquants à obtenir un accès au niveau du noyau, une exploitation généralisée de la vulnérabilité est hautement improbable.
TECHSPOT
