IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

La faille "Sinkclose" présente dans des centaines de millions de puces AMD permet des infections profondes


Sujet :

Sécurité

  1. #1
    Communiqués de presse

    Femme Profil pro
    Traductrice Technique
    Inscrit en
    Juin 2023
    Messages
    1 467
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France

    Informations professionnelles :
    Activité : Traductrice Technique

    Informations forums :
    Inscription : Juin 2023
    Messages : 1 467
    Points : 102 732
    Points
    102 732
    Par défaut La faille "Sinkclose" présente dans des centaines de millions de puces AMD permet des infections profondes
    La faille "Sinkclose", présente dans des centaines de millions de puces AMD, permet des infections profondes et pratiquement irrémédiables

    Des chercheurs ont découvert la vulnérabilité "Sinkclose" qui affecte des centaines de millions de processeurs d'AMD. La faille permet le vol de données et serait presque irrémédiable. AMD commence à appliquer des correctifs à des gammes de puces critiques, mais elle ne corrigerait pas tous les processeurs concernés par cette vulnérabilité.

    Advanced Micro Devices, Inc. (AMD) est une société de semi-conducteurs qui conçoit, développe et vend des processeurs informatiques et des technologies connexes pour les marchés professionnels et grand public. Les principaux produits d'AMD comprennent des microprocesseurs, des chipsets pour cartes mères, des processeurs intégrés et des processeurs graphiques pour les serveurs, les stations de travail, les ordinateurs personnels et les applications de systèmes intégrés.

    "Sinkclose" est le nom d'une importante faille de sécurité récemment découverte qui affecte pratiquement tous les processeurs AMD commercialisés depuis 2006. Cette faille permet aux attaquants de s'infiltrer profondément dans un système, ce qui rend extrêmement difficile la détection ou la suppression des logiciels malveillants. Selon un rapport de Wired, le problème est si grave que, dans certains cas, il peut être plus facile d'abandonner une machine infectée que de la réparer.

    Il y a toutefois une bonne nouvelle : comme il n'a pas été découvert depuis 18 ans, il n'a probablement pas été utilisé. De plus, AMD apporte des correctifs à ses plates-formes pour les protéger, bien que tous les processeurs concernés n'aient pas encore reçu de correctif. AMD a également ajouté qu'elle ne corrigerait pas tous les processeurs concernés par cette vulnérabilité.

    Nom : 1.jpg
Affichages : 19083
Taille : 53,2 Ko

    Sinkclose échappe aux antivirus et persiste même après la réinstallation du système d'exploitation

    La vulnérabilité Sinkclose permet aux pirates d'exécuter du code dans le mode de gestion du système (SMM) des processeurs AMD, une zone hautement privilégiée généralement réservée aux opérations critiques du micrologiciel. Pour exploiter cette faille, les pirates doivent d'abord accéder au noyau d'un système, ce qui n'est pas facile, mais possible. Cependant, le système doit déjà avoir été compromis par une autre attaque.

    Une fois l'accès sécurisé, la vulnérabilité Sinkclose permet aux auteurs d'installer un logiciel malveillant de type bootkit qui échappe à la détection par les outils antivirus standard, restant pratiquement invisible dans le système et pouvant persister même après la réinstallation du système d'exploitation.

    La vulnérabilité exploite une fonction ambiguë des puces AMD connue sous le nom de TClose, qui est censée maintenir la compatibilité avec les anciens appareils. En manipulant cette fonction, les chercheurs ont pu rediriger le processeur pour qu'il exécute son propre code au niveau SMM. Cette méthode est complexe, mais elle permet aux attaquants d'exercer un contrôle profond et persistant sur le système.

    "Pour tirer parti de la vulnérabilité, un pirate doit déjà avoir accès au noyau d'un ordinateur, le cœur de son système d'exploitation", indique un communiqué d'AMD transmis à Wired. AMD compare la technique Sinkclose à l'accès aux coffres-forts d'une banque après avoir franchi les alarmes, les gardes et la porte de la chambre forte.

    Les chercheurs en sécurité Enrique Nissim et Krzysztof Okupski de IOActive ont identifié la vulnérabilité Sinkclose. Nissim et Okupski soulignent que bien que l'exploitation de Sinkclose nécessite un accès au niveau du noyau, des vulnérabilités à ce niveau sont fréquemment découvertes dans les systèmes Windows et Linux. Ils suggèrent que les pirates avancés parrainés par un État disposent probablement déjà des outils nécessaires pour exploiter ce type de vulnérabilités.

    Selon les chercheurs, les exploits au niveau du noyau sont facilement disponibles, ce qui fait de Sinkclose la prochaine étape pour les attaquants. Pour supprimer le logiciel malveillant, il faut ouvrir l'ordinateur, se connecter à une partie spécifique de sa mémoire à l'aide d'un programmateur SPI Flash, inspecter soigneusement la mémoire, puis supprimer le logiciel malveillant.


    Impact sur une large gamme de processeurs AMD

    La faille Sinkclose affecte une large gamme de processeurs AMD utilisés dans les PC clients, les serveurs et les systèmes embarqués. Malheureusement, les derniers processeurs AMD basés sur la technologie Zen, dont la fonction Secure Boot n'a pas été correctement mise en œuvre par les fabricants d'ordinateurs ou de cartes mères, sont particulièrement vulnérables dans la mesure où il est plus difficile de détecter les logiciels malveillants installés dans l'enclave sécurisée d'AMD.

    Les chercheurs ont attendu dix mois avant de divulguer la vulnérabilité afin de donner à AMD plus de temps pour y remédier. AMD a reconnu la vulnérabilité et a commencé à publier des options d'atténuation pour les produits concernés, notamment ses processeurs EPYC pour centres de données et Ryzen pour PC. Des correctifs ont déjà été publiés pour certains produits, et d'autres devraient l'être prochainement. Toutefois, AMD n'a pas encore indiqué comment elle allait remédier à la vulnérabilité sur l'ensemble des appareils concernés.

    Les chercheurs rappellent que la vulnérabilité représente un risque important et que les utilisateurs ne devraient pas tarder à appliquer les correctifs disponibles pour protéger leurs systèmes. Nissim et Okupski soulignent l'importance d'appliquer ces correctifs dès qu'ils sont disponibles, malgré la difficulté d'exploiter la "porte dérobée". Ils affirment que des pirates sophistiqués parrainés par des États pourraient déjà posséder les moyens d'exploiter cette vulnérabilité, ce qui rend les mises à jour opportunes cruciales pour le maintien de la sécurité des systèmes.

    Sources : Wired, Rapport de sécurité AMD

    Et vous ?

    Pensez-vous que cette découverte est crédible ou pertinente ?
    Quel est votre avis sur le sujet ?

    Voir aussi :

    AMD promet des correctifs pour les processeurs EPYC et Ryzen tout en minimisant l'impact des trouvailles de CTS Labs

    Une nouvelle attaque d'exécution spéculative active cible les processeurs Intel et AMD, l'exploit peut entraîner la fuite de mots de passe et d'autres données sensibles

    La nouvelle attaque Spectre V2 touche les systèmes Linux équipés de processeurs Intel, permettant aux attaquants non authentifiés de lire des données de mémoire arbitraires en contournant la sécurité
    Publication de communiqués de presse en informatique. Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  2. #2
    Membre éclairé
    Homme Profil pro
    Inscrit en
    Mai 2003
    Messages
    299
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 44
    Localisation : Suisse

    Informations professionnelles :
    Secteur : Industrie

    Informations forums :
    Inscription : Mai 2003
    Messages : 299
    Points : 884
    Points
    884
    Par défaut
    si je comprend bien, le security bulletin associé est le ' SMM Lock bypass' : https://www.amd.com/en/resources/pro...d-sb-7014.html

    on voit alors des correctifs de micro code proposés pour les CPU EPYC (gen 1 à 4) et pour les Ryzen à partir des 3000 et +.
    Donc tous les CPU < Ryzen 3000, y compris les Threadripper 1900 et 2900 restent vulnérables!
    https://en.wikipedia.org/wiki/List_o...zen_processors

    edit: les R3000 desktop 'matisse' ne sont PAS corrigés -> un paquet de PC vulnérables puisque c est avec les 3000 (Zen2) que la popularité des Ryzen a vraiment explosé.

    https://learn.microsoft.com/en-us/wi...amd-processors
    La liste des CPU supportés est donc encore plus restreinte que celle de Windows 11, qui supporte les 2000 de 2018

    AMD offre donc des patchs que sur les CPU grand public <= 5 ans. 5 ans est relativement court comme support CPU pour une faille de cette ampleur!

Discussions similaires

  1. Réponses: 0
    Dernier message: 15/12/2017, 14h37
  2. & dans des quotes, PivotTable
    Par MiniMonsters dans le forum Excel
    Réponses: 5
    Dernier message: 28/04/2016, 10h33
  3. Insert dans des champs INT avec des doubles quotes
    Par bannik dans le forum Requêtes
    Réponses: 3
    Dernier message: 22/04/2008, 17h44
  4. [MySQL] Pourquoi dois-je utiliser des "quotes penchées" dans mes requêtes?
    Par v4np13 dans le forum PHP & Base de données
    Réponses: 2
    Dernier message: 29/02/2008, 23h23
  5. quote dans des valeurs d'une colonne SET
    Par Jean Fi dans le forum Requêtes
    Réponses: 6
    Dernier message: 30/03/2006, 20h16

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo