La vulnérabilité baptisée SinkClose (identifiée comme CVE-2023-31315), a été découverte par des chercheurs en sécurité d’IOActive. Cette faille, passée inaperçue pendant près de 20 ans, touche de nombreux processeurs AMD, y compris les gammes EPYC, Ryzen et Threadripper. Elle permet à un attaquant disposant de privilèges de niveau Kernel d’obtenir des privilèges beaucoup plus élevés au sein des processeurs modernes (Ring-2).
La faille SinkClose met en danger les systèmes les plus robustes
Ce niveau Ring-2 est associé au mode de gestion du système (System Management Mode, SMM), une fonction des processeurs utilisée pour la gestion de l’alimentation et le contrôle du matériel, la sécurité et d’autres opérations de bas niveau. Ces privilèges sont isolés du système d’exploitation, ce qui les rendent invisible et donc difficiles à détecter par les outils de sécurité traditionnels.
Selon les chercheurs, la faille SinkClose permettrait à un attaquant de contourner les protections du SMM, même lorsque le verrouillage du SMM est activé, pour désactiver des fonctionnalités de sécurité essentielles et installer des malwares pratiquement indétectables. Le mode SMM étant isolé du système d’exploitation, ces malwares sont donc invisibles pour les outils de sécurité et peuvent persister même après un reformatage ou une réinstallation du système.
AMD a réagi en publiant des correctifs pour ses processeurs EPYC et Ryzen, mais d’autres modèles, notamment les processeurs embarqués, nécessitent encore des mises à jour. Cependant, la gravité de la faille, notée 7,5 sur 10 par le système CVSS, et aussi le fait qu’elle puisse potentiellement être exploitée par des attaquants financés par des États ou des groupes de menaces avancées, suscite une grande inquiétude.
L’exploitation de cette faille nécessite néanmoins un accès au Kernel, une situation rare dans des attaques courantes. Les chercheurs d’IOActive rappellent que de telles vulnérabilités ne sont pas inexistantes, surtout quand on parle d’attaques sophistiquées. Des groupes de pirates, comme les hackers de Lazarus, ont déjà utilisé des techniques similaires pour élever leurs privilèges et compromettre des systèmes de manière persistante.
En plus des correctifs, il est recommandé aux administrateurs système et aux utilisateurs de processeurs AMD de mettre à jour leurs firmwares dès que possible pour se protéger contre cette faille. Les correctifs déjà déployés ne semblent pas affecter significativement les performances des processeurs, une nouvelle qui pourrait soulager les entreprises qui dépendent des puces AMD pour leurs opérations critiques.
Malgré les efforts d’AMD pour corriger la faille SinkClose, cette découverte rappelle que même les infrastructures les plus sécurisées peuvent être exposées à des vulnérabilités profondes, parfois enfouies dans le matériel depuis des décennies.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.