Des chercheurs en sécurité ont découvert une grave vulnérabilité dans les processeurs AMD, qui pourrait permettre à des pirates d'installer des logiciels malveillants quasiment indétectables.

Baptisée “SinkClose”, cette nouvelle faille affecte plusieurs générations de puces AMD, ce qui pourrait avoir un impact sur des millions d'appareils dans le monde. La vulnérabilité, officiellement répertoriée sous le nom de CVE-2023-31315, a été découverte par les chercheurs Enrique Nissim et Krzysztof Okupski de l'institut IOActive. Ce qui rend cette faille particulièrement préoccupante, c'est sa longévité : elle serait passée inaperçue pendant près de vingt ans, affectant même des processeurs AMD datant de 2006.

À la base, SinkClose exploite une faiblesse dans le mode de gestion du système (SMM) des puces AMD. Le SMM est une zone hautement privilégiée du processeur, généralement réservée aux opérations critiques du micrologiciel, telles que la gestion de l'alimentation, le contrôle thermique et l'initialisation du matériel. En manipulant une fonction appelée TClose, les attaquants peuvent contourner les mesures de sécurité et exécuter leur propre code au niveau du SMM, ce qui leur donne un contrôle quasi-total sur le système.

Lire également – Cette faille rend votre PC très vulnérable en faisant remonter Windows dans le temps

Vos ordinateurs sont totalement exposés aux pirates à cause de SinkClose

Les implications de cette vulnérabilité sont potentiellement graves. Les logiciels malveillants installés par le biais de SinkClose peuvent être incroyablement difficiles à détecter et à supprimer. Dans le pire des cas, ils peuvent nécessiter un remplacement complet du système. Plus inquiétant encore, si un processeur infecté est transféré vers un nouveau système, le logiciel malveillant peut se propager, entraînant potentiellement une chaîne d'appareils compromis.

AMD a reconnu le problème et lui a attribué un niveau de gravité élevé avec un score CVSS de 7,5. Comme souvent, la société a déjà publié des correctifs pour ses produits EPYC pour centres de données et les dernières puces Ryzen pour PC, et des mesures d'atténuation supplémentaires pour les systèmes embarqués sont en cours. Toutefois, certaines gammes de produits plus anciennes, notamment les séries Ryzen 1000, 2000 et 3000, ainsi que les Threadripper 1000 et 2000, ne recevront pas de mises à jour, car elles se situent en dehors de la fenêtre de prise en charge logicielle d'AMD. Si vous possédez un PC avec l’un de ces processeurs, il pourrait donc bien devenir une cible pour les pirates.

SinkClose est-elle une faille activement exploitée ?

Il est important de noter que l'exploitation de SinkClose n'est pas une tâche facile. Les attaquants doivent d'abord obtenir un accès au niveau du noyau (Ring 0) à un système avant de pouvoir exploiter cette vulnérabilité pour escalader leurs privilèges jusqu'au Ring -2. AMD compare cela à l'accès aux coffres-forts d'une banque après avoir contourné les alarmes, les gardes et la porte de la chambre forte.

Toutefois, les experts en sécurité mettent en garde contre une sous-estimation de la menace. Les vulnérabilités au niveau du noyau, si elles ne sont pas courantes, sont loin d'être rares dans les attaques sophistiquées. Les groupes de menaces persistantes avancées (APT) et les gangs de ransomware sont connus pour utiliser diverses techniques afin d'obtenir un tel accès, y compris l'exploitation de pilotes vulnérables ou de failles Windows de type “zero-day”.

Les conséquences d'une attaque SinkClose réussie peuvent être désastreuses. Une fois que le logiciel malveillant est installé à ce niveau, il devient presque invisible pour les outils de sécurité conventionnels. Krzysztof Okupski, un chercheur en sécurité, a expliqué à Wired que le seul moyen de détecter et de supprimer ces logiciels malveillants serait de se connecter physiquement à l'unité centrale à l'aide d'un outil spécialisé appelé programmateur SPI Flash et de scanner manuellement la mémoire.

Pour les utilisateurs, le risque immédiat peut être faible en raison de la complexité de la tâche. Cependant, le potentiel de vol de données, de prise de contrôle du système, voire d'espionnage, fait de cette vulnérabilité une préoccupation importante pour les gouvernements, les grandes organisations et les personnes manipulant des informations sensibles.

Pour se protéger contre SinkClose, les utilisateurs doivent rapidement installer les correctifs disponibles auprès d'AMD et des fabricants de leurs systèmes. Il est essentiel de n'obtenir ces mises à jour qu'auprès de sources officielles afin d'éviter tout risque pour la sécurité.