Des chercheurs ont dcouvert la vulnrabilit « Sinkclose » qui affecte des centaines de millions de processeurs d’AMD. La faille permet le vol de donnes et serait presque irrmdiable. AMD commence appliquer des correctifs des gammes de puces critiques, mais elle ne corrigerait pas tous les processeurs concerns par cette vulnrabilit.
Advanced Micro Devices, Inc. (AMD) est une socit de semi-conducteurs qui conoit, dveloppe et vend des processeurs informatiques et des technologies connexes pour les marchs professionnels et grand public. Les principaux produits d’AMD comprennent des microprocesseurs, des chipsets pour cartes mres, des processeurs intgrs et des processeurs graphiques pour les serveurs, les stations de travail, les ordinateurs personnels et les applications de systmes intgrs.
« Sinkclose » est le nom d’une importante faille de scurit rcemment dcouverte qui affecte pratiquement tous les processeurs AMD commercialiss depuis 2006. Cette faille permet aux attaquants de s’infiltrer profondment dans un systme, ce qui rend extrmement difficile la dtection ou la suppression des logiciels malveillants. Selon un rapport de Wired, le problme est si grave que, dans certains cas, il peut tre plus facile d’abandonner une machine infecte que de la rparer.
Il y a toutefois une bonne nouvelle : comme il n’a pas t dcouvert depuis 18 ans, il n’a probablement pas t utilis. De plus, AMD apporte des correctifs ses plates-formes pour les protger, bien que tous les processeurs concerns n’aient pas encore reu de correctif. AMD a galement ajout qu’elle ne corrigerait pas tous les processeurs concerns par cette vulnrabilit.
Sinkclose chappe aux antivirus et persiste mme aprs la rinstallation du systme d’exploitation
La vulnrabilit Sinkclose permet aux pirates d’excuter du code dans le mode de gestion du systme (SMM) des processeurs AMD, une zone hautement privilgie gnralement rserve aux oprations critiques du micrologiciel. Pour exploiter cette faille, les pirates doivent d’abord accder au noyau d’un systme, ce qui n’est pas facile, mais possible. Cependant, le systme doit dj avoir t compromis par une autre attaque.
Une fois l’accs scuris, la vulnrabilit Sinkclose permet aux auteurs d’installer un logiciel malveillant de type bootkit qui chappe la dtection par les outils antivirus standard, restant pratiquement invisible dans le systme et pouvant persister mme aprs la rinstallation du systme d’exploitation.
La vulnrabilit exploite une fonction ambigu des puces AMD connue sous le nom de TClose, qui est cense maintenir la compatibilit avec les anciens appareils. En manipulant cette fonction, les chercheurs ont pu rediriger le processeur pour qu’il excute son propre code au niveau SMM. Cette mthode est complexe, mais elle permet aux attaquants d’exercer un contrle profond et persistant sur le systme.
« Pour tirer parti de la vulnrabilit, un pirate doit dj avoir accs au noyau d’un ordinateur, le cur de son systme d’exploitation« , indique un communiqu d’AMD transmis Wired. AMD compare la technique Sinkclose l’accs aux coffres-forts d’une banque aprs avoir franchi les alarmes, les gardes et la porte de la chambre forte.
Les chercheurs en scurit Enrique Nissim et Krzysztof Okupski de IOActive ont identifi la vulnrabilit Sinkclose. Nissim et Okupski soulignent que bien que l’exploitation de Sinkclose ncessite un accs au niveau du noyau, des vulnrabilits ce niveau sont frquemment dcouvertes dans les systmes Windows et Linux. Ils suggrent que les pirates avancs parrains par un tat disposent probablement dj des outils ncessaires pour exploiter ce type de vulnrabilits.
Selon les chercheurs, les exploits au niveau du noyau sont facilement disponibles, ce qui fait de Sinkclose la prochaine tape pour les attaquants. Pour supprimer le logiciel malveillant, il faut ouvrir l’ordinateur, se connecter une partie spcifique de sa mmoire l’aide d’un programmateur SPI Flash, inspecter soigneusement la mmoire, puis supprimer le logiciel malveillant.
Impact sur une large gamme de processeurs AMD
La faille Sinkclose affecte une large gamme de processeurs AMD utiliss dans les PC clients, les serveurs et les systmes embarqus. Malheureusement, les derniers processeurs AMD bass sur la technologie Zen, dont la fonction Secure Boot n’a pas t correctement mise en uvre par les fabricants d’ordinateurs ou de cartes mres, sont particulirement vulnrables dans la mesure o il est plus difficile de dtecter les logiciels malveillants installs dans l’enclave scurise d’AMD.
Les chercheurs ont attendu dix mois avant de divulguer la vulnrabilit afin de donner AMD plus de temps pour y remdier. AMD a reconnu la vulnrabilit et a commenc publier des options d’attnuation pour les produits concerns, notamment ses processeurs EPYC pour centres de donnes et Ryzen pour PC. Des correctifs ont dj t publis pour certains produits, et d’autres devraient l’tre prochainement. Toutefois, AMD n’a pas encore indiqu comment elle allait remdier la vulnrabilit sur l’ensemble des appareils concerns.
Les chercheurs rappellent que la vulnrabilit reprsente un risque important et que les utilisateurs ne devraient pas tarder appliquer les correctifs disponibles pour protger leurs systmes. Nissim et Okupski soulignent l’importance d’appliquer ces correctifs ds qu’ils sont disponibles, malgr la difficult d’exploiter la « porte drobe ». Ils affirment que des pirates sophistiqus parrains par des tats pourraient dj possder les moyens d’exploiter cette vulnrabilit, ce qui rend les mises jour opportunes cruciales pour le maintien de la scurit des systmes.
Sources : Wired, Rapport de scurit AMD
Et vous ?
Pensez-vous que cette dcouverte est crdible ou pertinente ?
Quel est votre avis sur le sujet ?
Voir aussi :