Sinkclose : Tous les processeurs AMD sont vulnérables à l’insertion de code malveillant

AMD a un sérieux problème de sécurité à résoudre : des chercheurs ont trouvé un moyen de détourner un mécanisme de ses processeurs pour rendre les malwares pratiquement impossibles à supprimer. La vulnérabilité, notée 7,5 sur 10 (CVSS 3.1), est atténuée uniquement en exigeant que l’attaquant ait accès à l’espace noyau de la machine à infecter.

Samedi dernier, au salon DEF CON de Las Vegas, deux chercheurs ont présenté leurs travaux sur les processeurs AMD. Enrique Nissim et Krzysztof Okupski, tous deux de la société de sécurité IOActive, ont découvert l’an dernier un problème majeur dans toutes les puces de la société datant au moins de 2006.

Même si la faille, labellisée CVE-2023-31315, ne peut être véritablement exploitée que lorsque l’on a déjà accès à l’espace noyau du système, elle peut permettre l’installation de malwares quasiment impossibles à déloger. Un espace privilégié pour un bootkit, capable de se redémarrer à chaque démarrage et que même un formatage complet du disque dur et une réinstallation du système d’exploitation ne peuvent effacer.

Des correctifs ont déjà été publiés ou seront bientôt publiés, mais pas pour tout le monde.

Un mécanisme de compatibilité dans les processeurs AMD

Le défaut est complexe et réside dans une caractéristique – réputée « sombre » par les chercheurs – dans les processeurs AMD. Tout d’abord, il faut mentionner TSeg. Il s’agit d’une protection implémentée par AMD pour protéger les systèmes d’exploitation de l’écriture dans une zone spécifique de la mémoire, réservée au System Management Mode (SMM). Cette zone est connue sous le nom de SMRAM, pour System Management Random Access Memory. Le SMM est très important : il effectue de nombreuses tâches en arrière-plan, vérifiant l’alimentation, le refroidissement et autres. Son code est exécuté avant même le démarrage du système d’exploitation.

La prochaine étape est TClose. Cette fonctionnalité a été ajoutée il y a des années par AMD à ses puces pour permettre aux systèmes d’exploitation de rester compatibles avec les mécanismes plus anciens qui pourraient utiliser les mêmes adresses mémoire que la SMRAM. Lorsqu’elle est activée (ce qui est le cas par défaut), les adresses mémoire sont « remappé » dans cette zone, si nécessaire.

Que permet la faille ? De rediriger les données souhaitées vers cette zone protégée. Et par « données souhaitées », on entend du code malveillant, dont les instructions seront remappées en mode de gestion du système, via TClose. À partir de là, le code obtient non seulement un emplacement très protégé, mais il acquiert également les privilèges les plus élevés, supérieurs à ceux du noyau ou de l’hyperviseur, selon le type de configuration.

La faille a été baptisée « Sinkclose » par les chercheurs, un mélange de « Sinkhole » – une référence à une faille SMM découverte chez Intel en 2015 – et de TClose, la fonction où réside le problème.

Un ordinateur « jetable »

Enrique Nissim et Krzysztof Okupski ont déclaré à Wired qu’ils avaient décidé de se lancer dans l’architecture des processeurs d’AMD il y a deux ans. Ils estimaient que l’on n’y avait pas accordé suffisamment d’attention, l’accent étant mis principalement sur Intel. Mais après avoir constaté des gains de parts de marché constants, en particulier dans le domaine des entreprises et des centres de données (via la gamme Epic), ils ont creusé plus profondément.

Enrique Nissim a notamment indiqué avoir lu la page de la documentation d’AMD contenant la faille  » mille fois « .  » Et c’est la mille et première fois que je le remarque.  » a-t-il ajouté.

Sur la gravité de leur découverte, Krzysztof Okupski propose un scénario : « Imaginez des pirates informatiques d’États-nations ou quiconque voudrait s’infiltrer dans votre système. Même si vous effacez votre disque dur, il sera toujours là. Il sera quasiment indétectable et presque impossible à réparer. « .

Presque ? Selon le chercheur, c’est théoriquement faisable. Il faudrait établir une connexion physique à une certaine partie des puces mémoire de l’ordinateur via un outil spécifique (reprogrammeur Flash SPI) et procéder à un examen approfondi de la mémoire pour vérifier la présence de code malveillant. Un processus long et laborieux, qu’Okupski résume ainsi :  » En fait, vous devriez jeter votre ordinateur. « .

Frais d’entrée élevés

Il n’existe qu’un seul facteur qui empêche la faille d’être considérée comme critique, mais il est de taille : le ou les attaquants doivent avoir déjà établi un accès au système d’exploitation et avoir réussi à obtenir des droits d’accès au noyau. Pour rappel, nous avons évoqué ces droits dans une description du fonctionnement des solutions de sécurité, dans le contexte de la panne mondiale de CrowdStrike.

Ce n’est pas facile, mais loin d’être impossible. Les deux chercheurs indiquent que des vulnérabilités de ce type sont découvertes presque chaque mois dans Windows et Linux. De plus, s’il s’agit de pirates soutenus par des États-nations, alors ils  » nous avons déjà des exploits de noyau pour tous ces systèmes  » dit Enrique Nissim.

Mais avoir une telle faille n’est pas tout. Selon le type de machine que vous souhaitez cibler, il peut être nécessaire d’accéder physiquement à la machine. Dans le cas d’un centre de données, par exemple, cela peut être extrêmement délicat, car la sécurité est soumise à une surveillance intense.

C’est compliqué, mais ça vaut le coup. Une fois qu’ils ont réussi à y accéder, les pirates peuvent implanter leur code malveillant dans le processeur AMD et tenter de repartir sans laisser de traces. Si l’intrusion n’a pas été remarquée, le code malveillant laissé dans la SMRAM sera pratiquement indétectable. Tant que les pirates auront bien fait leur « boulot », ils disposeront d’un emplacement privilégié pour d’autres opérations.

 » Si les fondations sont brisées, la sécurité de l’ensemble du système l’est aussi. « , résume Enrique Nissim.

La délicate question des patchs

Enrique Nissim et Krzysztof Okupski ont alerté AMD il y a une dizaine de mois. L’entreprise texane a reconnu le problème et a demandé aux chercheurs d’attendre avant de détailler leurs conclusions, ce qu’ils ont accepté. AMD a souhaité enquêter davantage et préparer des solutions.

Sur le site de l’entreprise, une page officielle a été mise en ligne pour lister les processeurs concernés. On peut y lire plusieurs éléments importants. Tout d’abord, qu’un certain nombre de processeurs ont déjà été mis à jour ou ont reçu des mesures d’atténuation depuis le début de l’année. C’est notamment le cas des processeurs Epyc de la gamme 1^D à 4^et génération.

Ensuite, et bien que les chercheurs aient estimé que Sinkclose était présent sur toutes les puces AMD depuis au moins 2006, la liste comprend principalement des modèles datant de 2017 au plus tard.

De plus, toutes les puces listées ne recevront pas de patch. Sur les processeurs de bureau, par exemple, le Ryzen 3000 n’en recevra pas. Pour les séries 4000 à 8000, les patchs ont été distribués le 30 juillet. En revanche, les puces Ryzen 4000 et suivantes ont toutes reçu un patch au cours des dernières semaines. Pour de nombreuses puces Embedded (Epyc ou Ryzen), le patch devrait arriver en octobre.

On pourrait se poser la question à propos des processeurs Ryzen 3000 : très populaires à leur lancement, notamment auprès des gamers, pourquoi n’ont-ils pas de patch, alors qu’AMD a corrigé plusieurs défauts de ces modèles en début d’année ?

Des mises à jour sont proposées depuis plusieurs mois par les constructeurs. Sous Windows, elles devraient normalement être « normalement » disponibles dans Windows Update. A ce stade, on ne sait toutefois pas si elles ont été diffusées de manière prioritaire ou classées dans les mises à jour facultatives (Windows Update > Options avancées > Mises à jour facultatives).

Pour les serveurs, les systèmes embarqués et les ordinateurs Linux, la distribution est plus complexe. Tout dépend du système et de ce qui est décidé par les fabricants.