
AMD met en garde contre une vulnérabilité de cpu de haute gravité nommée SinkClose qui affecte plusieurs générations de ses processeurs EPYC, Ryzen et Threadripper. Cette vulnérabilité permet aux attaquants disposant de privilèges au niveau du noyau (Anneau 0) d’obtenir des privilèges d’anneau -2 et d’installer des logiciels malveillants qui deviennent presque indétectables.
L’anneau -2 est l’un des niveaux de privilège les plus élevés sur un ordinateur, s’exécutant au-dessus de l’anneau -1 (utilisé pour les hyperviseurs et la virtualisation du processeur) et de l’anneau 0, qui est le niveau de privilège utilisé par le noyau d’un système d’exploitation.
Le niveau de privilège Ring -2 est associé à la fonctionnalité SMM (System Management Mode) des processeurs modernes. SMM gère la gestion de l’alimentation, le contrôle du matériel, la sécurité et d’autres opérations de bas niveau requises pour la stabilité du système.
En raison de son niveau de privilège élevé, SMM est isolé du système d’exploitation pour l’empêcher d’être facilement ciblé par les auteurs de menaces et les logiciels malveillants.
Faille du PROCESSEUR SinkClose
Suivie sous le numéro CVE-2023-31315 et classée de gravité élevée (score CVSS: 7,5) , la faille a été découverte par IOActive Enrique Nissim et Krzysztof Okupski, qui ont nommé l’attaque d’élévation de privilèges ‘ Sinkclose.’
Tous les détails sur l’attaque seront présentés par les chercheurs demain dans une conférence DefCon intitulée « AMD Sinkclose: Universal Ring-2 Privilege Escalation. »
Les chercheurs rapportent que Sinkclose est passé inaperçu pendant près de 20 ans, impactant une large gamme de modèles de puces AMD.
La faille SinkClose permet aux attaquants disposant d’un accès au niveau du noyau (Anneau 0) de modifier les paramètres du Mode de gestion du système (SMM), même lorsque le verrouillage SMM est activé. Cette faille pourrait être utilisée pour désactiver les fonctions de sécurité et installer des logiciels malveillants persistants et pratiquement indétectables sur un appareil.
L’anneau -2 est isolé et invisible pour le système d’exploitation et l’hyperviseur, de sorte que toute modification malveillante effectuée à ce niveau ne peut pas être interceptée ou corrigée par les outils de sécurité exécutés sur le système d’exploitation.
Okupski a déclaré à Wired que la seule façon de détecter et de supprimer les logiciels malveillants installés à l’aide de SinkClose serait de se connecter physiquement aux processeurs à l’aide d’un outil appelé programmeur Flash SPI et d’analyser la mémoire à la recherche de logiciels malveillants.
Selon l’avis d’AMD, les modèles suivants sont concernés:
- EPIC 1ère, 2ème, 3ème et 4ème générations
- EPYC Embedded 3000, 7002, 7003 et 9003, R1000, R2000, 5000 et 7000
- Ryzen embarqués V1000, V2000 et V3000
- Séries Ryzen 3000, 5000, 4000, 7000 et 8000
- Séries Ryzen 3000 Mobiles, 5000 Mobiles, 4000 Mobiles et 7000 Mobiles
- Ripper de filetage Ryzen séries 3000 et 7000
- Extracteur de filetage AMD PRO (Pic du château WS SP3, Chagall WS)
- AMD Athlon série 3000 Mobile (Dali, Goberge)
- Processeur AMD Instinct MI300A
AMD a déclaré dans son avis qu’il avait déjà publié des atténuations pour ses processeurs de bureau et mobiles EPYC et AMD Ryzen, avec d’autres correctifs pour les PROCESSEURS embarqués à venir plus tard.
Implications réelles et réponse
L’accès au niveau du noyau est une condition préalable à la réalisation de l’attaque Sinkclose. AMD l’a noté dans une déclaration à Wired, sous-tendant la difficulté d’exploiter CVE-2023-31315 dans des scénarios réels.
Cependant, IOActive a répondu en disant que les vulnérabilités au niveau du noyau, bien que peu répandues, ne sont sûrement pas rares dans les attaques sophistiquées, ce qui est vrai sur la base des attaques précédentes couvertes par Breachtrace.
Les acteurs des menaces persistantes avancées (APT), comme le groupe nord-coréen Lazarus, utilisent des techniques BYOVD (Apportez votre propre pilote vulnérable) ou même tirent parti des failles Windows zero-day pour augmenter leurs privilèges et obtenir un accès au niveau du noyau.
Les gangs de ransomwares utilisent également des tactiques BYOVD, utilisant des outils de destruction EDR personnalisés qu’ils vendent à d’autres cybercriminels pour des profits supplémentaires.
Les célèbres spécialistes de l’ingénierie sociale Scattered Spider ont également été repérés en train de tirer parti de BYOVD pour désactiver les produits de sécurité.
Ces attaques sont possibles via divers outils, des pilotes signés Microsoft, des pilotes antivirus, des pilotes graphiques MSI, des pilotes OEM bogués et même des outils anti-triche de jeu qui bénéficient d’un accès au niveau du noyau.
Cela dit, Sinkclose pourrait constituer une menace importante pour les organisations utilisant des systèmes basés sur AMD, en particulier de la part d’acteurs de la menace sophistiqués et parrainés par l’État, et ne devrait pas être ignoré.