Technologie : Une analyse approfondie pour les passionnés de technologie.
Une vulnérabilité préoccupante dans les processeurs AMD
Qu’est-ce qui s’est passé ?
Lors de la récente conférence Def Con, des chercheurs en sécurité ont mis en lumière une vulnérabilité ancienne mais récemment identifiée dans les processeurs AMD, nommée « Sinkclose« . Bien que son exploitation soit complexe, cette faille de sécurité pourrait avoir des conséquences désastreuses pour les systèmes qui en seraient victimes.
Détails de la présentation
Le samedi, Enrique Nissim, consultant principal en sécurité chez IOActive, accompagné de Krzysztof Okupski, consultant principal associé, a présenté des recherches sur cette vulnérabilité lors d’une session intitulée « AMD Sinkclose : Élévation de privilèges universelle en Ring-2« . L’équipe a découvert une faille dans un composant essentiel à la sécurisation d’un mode d’exécution appelé Mode de Gestion Système. Ce mode permet aux attaquants d’accéder à une méthode d’exécution puissante et polyvalente, échappant aux protections au niveau du système d’exploitation, telles que les antivirus et les solutions anti-malware, souvent utilisées dans les jeux en ligne.
La complexité de l’exploitation
Bien que l’exploitation de cette vulnérabilité soit difficile, elle nécessite que l’attaquant accède d’abord au noyau du système. Une fois cette étape franchie, l’attaquant peut utiliser des privilèges Ring-0 pour obtenir des privilèges Ring-2, lui permettant d’installer un bootkit indétectable. Les bootkits sont des malwares ciblant le secteur de démarrage principal d’un système. Une fois en place, ils sont difficiles à détecter ou à éliminer. Dans certains cas, une attaque réussie peut persister même après une réinstallation complète du système d’exploitation, rendant nécessaire le remplacement total de la machine plutôt qu’une simple suppression de malware.
Une vulnérabilité ancienne
Bien que la vulnérabilité Sinkclose ait été récemment signalée et suivie sous le numéro CVE-2023-31315, elle semble être un problème ancien, resté inaperçu dans de nombreux processeurs de stations de travail et de serveurs AMD pendant près de 18 ans. Selon le bulletin de sécurité produit par AMD, cette vulnérabilité affecte de nombreux processeurs dans ses gammes de CPU pour centres de données, solutions graphiques, processeurs embarqués, ordinateurs de bureau, HEDT, stations de travail et produits mobiles.
Réponse d’AMD
Les chercheurs d’IOActive ont informé AMD de cette vulnérabilité dix mois avant son annonce publique, permettant à la société de l’examiner et de la traiter. AMD a déjà mis en place des mesures d’atténuation pour ses processeurs EPYC et Ryzen. Un porte-parole d’AMD a indiqué à Wired que d’autres mesures pour les processeurs embarqués et d’autres produits affectés seraient bientôt disponibles, bien qu’aucun calendrier officiel n’ait été fourni.
Conclusion rassurante
Bien que les nouvelles initiales et les dommages potentiels semblent alarmants, les utilisateurs peuvent se sentir plus sereins en sachant que cette vulnérabilité est restée inaperçue pendant près de deux décennies et qu’il semble que des hackers ne l’aient jamais exploitée. Compte tenu des efforts de remédiation d’AMD et de la difficulté inhérente à obtenir un accès au niveau du noyau, une exploitation généralisée de cette vulnérabilité est très peu probable.
