Faille de sécurité majeure pour des millions de puces AMD
Présentation de la faille Sinkclose
Des chercheurs en sécurité ont récemment découvert une faille critique présente dans les puces AMD, surnommée Sinkclose. Cette vulnérabilité pourrait permettre à des pirates d’accéder aux zones les plus privilégiées d’un ordinateur, compromettant ainsi la sécurité de millions de PC et serveurs. Alors que les failles de sécurité dans le firmware des ordinateurs sont déjà des cibles attrayantes pour les hackers, la découverte d’une telle vulnérabilité dans les puces de grande distribution est d’autant plus alarmante. Cette faille, qui persiste dans les processeurs AMD depuis des décennies, pourrait nécessiter de jeter l’ordinateur concerné pour éradiquer toute infection.
Une vulnérabilité profonde et persistante
Lors de la conférence de pirates informatiques Defcon, Enrique Nissim et Krzysztof Okupski de la firme de sécurité IOActive, présenteront en détail la faille Sinkclose. Celle-ci permettrait à des attaquants d’exécuter leur propre code dans le System Management Mode, la partie la plus protégée du firmware des processeurs AMD. Les chercheurs avertissent que presque toutes les puces AMD depuis 2006, et peut-être même avant, sont affectées par cette vulnérabilité. L’exploitation de ce bug nécessite que les pirates aient déjà un accès substantiel à un PC ou un serveur basé sur AMD, mais la faille Sinkclose leur permettrait d’aller encore plus loin.
Implications pour les utilisateurs concernés
Pour les machines équipées de puces vulnérables, l’infection par un malware utilisant la faille Sinkclose peut être extrêmement difficile à détecter ou à supprimer. Un bootkit, par exemple, pourrait échapper aux outils antivirus et rester invisible pour le système d’exploitation tout en permettant aux pirates de surveiller et de manipuler le système. Pire encore, dans certains cas de mauvaise configuration de la fonction de sécurité Platform Secure Boot d’AMD, une infection pourrait survivre même après la réinstallation du système d’exploitation, rendant la suppression encore plus complexe.
Les défis de la remédiation
Okupski souligne que même en effaçant complètement le disque dur, l’infection pourrait persister, car elle est ancrée profondément dans la mémoire de l’ordinateur. Le seul moyen de s’en débarrasser pourrait impliquer l’ouverture de l’ordinateur et la connexion directe à une partie spécifique des puces mémoire. Cela nécessite un outil de programmation matérielle connu sous le nom de SPI Flash programmer, ainsi qu’une inspection minutieuse de la mémoire. Nissim ajoute que dans le pire des cas, il pourrait être nécessaire de jeter l’ordinateur infecté.
Réactions et mesures d’AMD
AMD a reconnu les découvertes d’IOActive dans une déclaration et a remercié les chercheurs pour leur travail. La société a publié des options de mitigation pour ses produits AMD EPYC destinés aux centres de données et les produits AMD Ryzen pour PC, avec des solutions pour les produits embarqués à venir bientôt. Pour ses processeurs EPYC utilisés dans les serveurs de centres de données, AMD a déjà publié des correctifs plus tôt cette année. Toutefois, AMD a refusé de préciser comment elle compte réparer la vulnérabilité Sinkclose, ni pour quels appareils spécifiquement.
Les difficultés d’exploitation
AMD souligne que pour exploiter la faille Sinkclose, un pirate doit avoir accès au noyau du système d’exploitation, comparant cela à l’accès à des coffres-forts bancaires après avoir déjà contourné les alarmes et les gardes. Nissim et Okupski rétorquent que les exploitations de noyau sont découvertes chaque mois dans Windows et Linux. Ils affirment que les pirates parrainés par des États pourraient déjà disposer de techniques pour exploiter ces vulnérabilités et qu’ils trouveront probablement des moyens de tirer parti de Sinkclose.
Comprendre le mécanisme de Sinkclose
Sinkclose exploite une fonction obscure des puces AMD appelée TClose. Dans les machines basées sur AMD, une protection appelée TSeg empêche les systèmes d’exploitation d’écrire dans une partie protégée de la mémoire réservée à System Management Mode, connue sous le nom de System Management Random Access Memory (SMRAM). Cependant, la fonction TClose permet au système de rester compatible avec les anciens dispositifs utilisant les mêmes adresses mémoire que SMRAM, en remappant une autre mémoire à ces adresses. Les chercheurs ont découvert qu’avec les privilèges du système d’exploitation, ils pouvaient utiliser cette fonction de remappage pour duper le code SMM et rediriger le processeur pour exécuter leur propre code.
Recherche et développement de la faille
Nissim et Okupski, spécialisés dans la sécurité du code de bas niveau comme le firmware des processeurs, ont décidé de se pencher sur l’architecture AMD il y a deux ans. Ils ont trouvé le cas extrême de TClose en lisant et en relisant la documentation d’AMD, alertant AMD de la faille en octobre dernier. Ils ont attendu près de 10 mois avant de divulguer publiquement leur découverte afin de laisser à AMD le temps de préparer un correctif.
Mesures de protection pour les utilisateurs
Pour se protéger, Nissim et Okupski recommandent aux utilisateurs de Windows d’attendre des correctifs qui seront intégrés dans les futures mises à jour du système d’exploitation par Microsoft. Pour les serveurs, systèmes embarqués et machines sous Linux, les correctifs peuvent être plus épars et manuels. Les chercheurs insistent sur le fait que, malgré toute tentative de minimiser la complexité de l’exploitation de Sinkclose, les utilisateurs devraient appliquer les correctifs dès qu’ils sont disponibles, car des hackers sophistiqués pourraient déjà avoir découvert leur technique.