Des chercheurs ont découvert la vulnérabilité "Sinkclose" qui affecte des centaines de millions de processeurs d'AMD. La faille permet le vol de données et serait presque irrémédiable. AMD commence à appliquer des correctifs à des gammes de puces critiques, mais elle ne corrigerait pas tous les processeurs concernés par cette vulnérabilité.Advanced Micro Devices, Inc. (AMD) est une société de semi-conducteurs qui conçoit, développe et vend des processeurs informatiques et des technologies connexes pour les marchés professionnels et grand public. Les principaux produits d'AMD comprennent des microprocesseurs, des chipsets pour cartes mères, des processeurs intégrés et des processeurs graphiques pour les serveurs, les stations de travail, les ordinateurs personnels et les applications de systèmes intégrés.
"Sinkclose" est le nom d'une importante faille de sécurité récemment découverte qui affecte pratiquement tous les processeurs AMD commercialisés depuis 2006. Cette faille permet aux attaquants de s'infiltrer profondément dans un système, ce qui rend extrêmement difficile la détection ou la suppression des logiciels malveillants. Selon un rapport de Wired, le problème est si grave que, dans certains cas, il peut être plus facile d'abandonner une machine infectée que de la réparer.
Il y a toutefois une bonne nouvelle : comme il n'a pas été découvert depuis 18 ans, il n'a probablement pas été utilisé. De plus, AMD apporte des correctifs à ses plates-formes pour les protéger, bien que tous les processeurs concernés n'aient pas encore reçu de correctif. AMD a également ajouté qu'elle ne corrigerait pas tous les processeurs concernés par cette vulnérabilité.
Sinkclose échappe aux antivirus et persiste même après la réinstallation du système d'exploitation
La vulnérabilité Sinkclose permet aux pirates d'exécuter du code dans le mode de gestion du système (SMM) des processeurs AMD, une zone hautement privilégiée généralement réservée aux opérations critiques du micrologiciel. Pour exploiter cette faille, les pirates doivent d'abord accéder au noyau d'un système, ce qui n'est pas facile, mais possible. Cependant, le système doit déjà avoir été compromis par une autre attaque.
Une fois l'accès sécurisé, la vulnérabilité Sinkclose permet aux auteurs d'installer un logiciel malveillant de type bootkit qui échappe à la détection par les outils antivirus standard, restant pratiquement invisible dans le système et pouvant persister même après la réinstallation du système d'exploitation.
La vulnérabilité exploite une fonction ambiguë des puces AMD connue sous le nom de TClose, qui est censée maintenir la compatibilité avec les anciens appareils. En manipulant cette fonction, les chercheurs ont pu rediriger le processeur pour qu'il exécute son propre code au niveau SMM. Cette méthode est complexe, mais elle permet aux attaquants d'exercer un contrôle profond et persistant sur le système.
"Pour tirer parti de la vulnérabilité, un pirate doit déjà avoir accès au noyau d'un ordinateur, le cœur de son système d'exploitation", indique un communiqué d'AMD transmis à Wired. AMD compare la technique Sinkclose à l'accès aux coffres-forts d'une banque après avoir franchi les alarmes, les gardes et la porte de la chambre forte.
Les chercheurs en sécurité Enrique Nissim et Krzysztof Okupski de IOActive ont identifié la vulnérabilité Sinkclose. Nissim et Okupski soulignent que bien que l'exploitation de Sinkclose nécessite un accès au niveau du noyau, des vulnérabilités à ce niveau sont fréquemment découvertes dans les systèmes Windows et Linux. Ils suggèrent que les pirates avancés parrainés par un État disposent probablement déjà des outils nécessaires pour exploiter ce type de vulnérabilités.
Selon les chercheurs, les exploits au niveau du noyau sont facilement disponibles, ce qui fait de Sinkclose la prochaine étape pour les attaquants. Pour supprimer le logiciel malveillant, il faut ouvrir l'ordinateur, se connecter à une partie spécifique de sa mémoire à l'aide d'un programmateur SPI Flash, inspecter soigneusement la mémoire, puis supprimer le logiciel malveillant.
Impact sur une large gamme de processeurs AMD
La faille Sinkclose affecte une large gamme de processeurs AMD utilisés dans les PC clients, les serveurs et les systèmes embarqués. Malheureusement, les derniers processeurs AMD basés sur la technologie Zen, dont la fonction Secure Boot n'a pas été correctement mise en œuvre par les fabricants d'ordinateurs ou de cartes mères, sont particulièrement vulnérables dans la mesure où il est plus difficile de détecter les logiciels malveillants installés dans l'enclave sécurisée d'AMD.
Les chercheurs ont attendu dix mois avant de divulguer la vulnérabilité afin de donner à AMD plus de temps pour y remédier. AMD a reconnu la vulnérabilité et a commencé à publier des options d'atténuation pour les produits concernés, notamment ses processeurs EPYC pour centres de données et Ryzen pour PC. Des correctifs ont déjà été publiés pour certains produits, et d'autres devraient l'être prochainement. Toutefois, AMD n'a pas encore indiqué comment elle allait remédier à la vulnérabilité sur l'ensemble des appareils concernés.
Les chercheurs rappellent que la vulnérabilité représente un risque important et que les utilisateurs ne devraient pas tarder à appliquer les correctifs disponibles pour protéger leurs systèmes. Nissim et Okupski soulignent l'importance d'appliquer ces correctifs dès qu'ils sont disponibles, malgré la difficulté d'exploiter la "porte dérobée". Ils affirment que des pirates sophistiqués parrainés par des États pourraient déjà posséder les moyens d'exploiter cette vulnérabilité, ce qui rend les mises à jour opportunes cruciales pour le maintien de la sécurité des systèmes.
Sources : Wired, Rapport de sécurité AMD
Et vous ?
Pensez-vous que cette découverte est crédible ou pertinente ? Quel est votre avis sur le sujet ?Voir aussi :
AMD promet des correctifs pour les processeurs EPYC et Ryzen tout en minimisant l'impact des trouvailles de CTS Labs Une nouvelle attaque d'exécution spéculative active cible les processeurs Intel et AMD, l'exploit peut entraîner la fuite de mots de passe et d'autres données sensibles La nouvelle attaque Spectre V2 touche les systèmes Linux équipés de processeurs Intel, permettant aux attaquants non authentifiés de lire des données de mémoire arbitraires en contournant la sécurité 
