Des chercheurs en sécurité ont découvert une grave vulnérabilité dans les processeurs AMD qui pourrait permettre aux pirates d’installer des logiciels malveillants presque indétectables.
Baptisée « SinkClose », cette nouvelle faille affecte plusieurs générations de puces AMD et pourrait avoir un impact sur des millions d’appareils dans le monde. La vulnérabilité, officiellement répertoriée sous le numéro CVE-2023-31315, a été découverte par les chercheurs Enrique Nissim et Krzysztof Okupski de l’Institut IOActive. Ce qui rend cette faille particulièrement inquiétante, c’est sa longévité : Cela serait passé inaperçu pendant près de vingt ans, affectant même les processeurs AMD datant de 2006.
À la base, SinkClose exploite une faiblesse du mode de gestion du système (SMM) des puces AMD. Le SMM est une zone hautement privilégiée du processeur, généralement réservée aux opérations critiques du micrologiciel telles que la gestion de l’alimentation, le contrôle thermique et l’initialisation du matériel. En manipulant une fonction appelée TClose, les attaquants peuvent contourner les mesures de sécurité et exécuter leur propre code dans le SMM, ce qui leur donne un contrôle presque total sur le système.
Lire aussi – Cette faille rend votre PC très vulnérable en faisant remonter Windows dans le temps
Vos ordinateurs sont totalement exposés aux pirates grâce à SinkClose
Les implications de cette vulnérabilité sont potentiellement graves. Les logiciels malveillants installés via SinkClose peuvent être incroyablement difficiles à détecter et à supprimer. Dans le pire des cas, cela peut nécessiter un remplacement complet du système. Plus inquiétant encore, si un processeur infecté est transféré vers un nouveau système, le logiciel malveillant peut se propager, pouvant potentiellement conduire à une chaîne d’appareils compromis.
AMD a reconnu le problème et lui a attribué un niveau de gravité élevé avec un score CVSS de 7,5. Comme c’est souvent le cas, la société a déjà publié des correctifs pour ses produits de centre de données EPYC et les dernières puces PC Ryzen, et des mesures d’atténuation supplémentaires pour les systèmes embarqués sont en cours d’élaboration. Cependant, Certaines gammes de produits plus anciennes, notamment les séries Ryzen 1000, 2000 et 3000, ainsi que les Threadripper 1000 et 2000, ne recevront pas de mises à jourcar ils sont en dehors de la fenêtre de support logiciel d’AMD, donc si vous possédez un PC avec l’un de ces processeurs, il pourrait bien devenir une cible pour les pirates.
SinkClose est-elle une vulnérabilité activement exploitée ?
Il est important de noter que l’exploitation de SinkClose n’est pas une tâche facile. Les attaquants doivent d’abord obtenir un accès au niveau du noyau (Ring 0) d’un système avant de pouvoir exploiter cette vulnérabilité pour élever leurs privilèges à Ring -2. AMD compare cela au fait d’accéder aux coffres-forts d’une banque après avoir contourné les alarmes, les gardes et la porte du coffre-fort.
Les experts en sécurité mettent toutefois en garde contre une sous-estimation de la menace. Les vulnérabilités au niveau du noyau, bien que peu courantes, sont loin d’être rares dans les attaques sophistiquées. Les groupes de menaces persistantes avancées (APT) et les gangs de ransomware sont connus pour utiliser diverses techniques pour obtenir un tel accès, y compris l’exploitation de pilotes vulnérables ou de vulnérabilités zero-day de Windows.
Les conséquences d’une attaque SinkClose réussie peuvent être désastreuses. Une fois le malware installé à ce niveau, il devient presque invisible pour les outils de sécurité conventionnels. Krzysztof Okupski, chercheur en sécurité, a déclaré à Wired que la seule façon de détecter et de supprimer ce type de malware serait de se connecter physiquement au processeur à l’aide d’un outil spécialisé appelé programmeur Flash SPI et d’analyser manuellement la mémoire.
Pour les utilisateurs, le risque immédiat peut être faible en raison de la complexité de la tâche. Cependant, le risque de vol de données, de prise de contrôle du système ou même d’espionnage rend cette vulnérabilité une préoccupation majeure pour les gouvernements, les grandes organisations et les particuliers qui manipulent des informations sensibles.
Pour se protéger contre SinkClose, les utilisateurs doivent installer rapidement les correctifs disponibles auprès d’AMD et des fabricants de leurs systèmes. Il est essentiel d’obtenir ces mises à jour uniquement auprès de sources officielles pour éviter tout risque de sécurité.