Le nouveau défaut AMD SinkClose aide à installer des logiciels malveillants presque indétectables
AMD met en garde contre une vulnérabilité de processeur de haute gravité nommée SinkClose qui a un impact sur plusieurs générations de ses processeurs EPYC, Ryzen et Threadripper.
La vulnérabilité permet aux attaquants avec les privilèges de niveau noyau (Ring 0) d'obtenir des privilèges Ring-2 et d'installer des logiciels malveillants qui deviennent presque indétectables.
L'anneau -2 est l'un des niveaux de privilège les plus élevés sur un ordinateur, fonctionnant au-dessus de Ring-1 (utilisé pour les hyperviseurs et la virtualisation CPU) et de l'anneau 0, qui est le niveau de privilège utilisé par le noyau d'un système d'exploitation.
Le niveau de privilège Ring-2 est associé à la fonctionnalité de mode de gestion du système (SMM) des CPU modernes.
SMM gère la gestion de l'énergie, le contrôle du matériel, la sécurité et d'autres opérations de faible niveau requises pour la stabilité du système.
En raison de son haut niveau de privilège, SMM est isolé du système d'exploitation pour éviter qu'il ne soit facilement ciblé par les acteurs de la menace et les logiciels malveillants.
Défaut de l'unité centrale
Plein de CVE-2023-31315 et noté de haute sévérité (score CVSS: 7,5), le défaut a été découvert par l'Octoire Enrique Nissim et Krzysztof Okupski, qui ont nommé l'attaque d'élévation de privilège "Sinkclose".
Des détails complets sur l'attaque seront présentés par les chercheurs demain dans une conférence de la DefCon intitulée « AMD Sinkclose: Universal Ring-2 Privilege Escalation ».
Les chercheurs rapportent que Sinkclose ne s'est pas détecté depuis près de 20 ans, ce qui a eu un impact sur un large éventail de modèles de puces AMD.
La faille de SinkClose permet aux attaquants ayant un accès au niveau du noyau (Ring 0) de modifier les paramètres du mode de gestion du système (SMM), même lorsque SMM Lock est activé.
Ce défaut pourrait être utilisé pour désactiver les dispositifs de sécurité et les logiciels malveillants persistants, pratiquement indétectables, sur un appareil.
Le son -2 est isolé et invisible pour l'OS et l'hyperviseur, de sorte que toute modification malveillante apportée à ce niveau ne peut pas être attrapée ou remédiée par des outils de sécurité en cours d'exécution sur la SAO.
Okupski a dit à Wired que la seule façon de détecter et de supprimer les logiciels malveillants installés à l'aide de SinkClose serait de se connecter physiquement aux CUP à l'aide d'un outil appelé programmeur SPI Flash et de scanner la mémoire à la recherche de logiciels malveillants.
Selon l'avis de l'AMD, les modèles suivants sont concernés:
- EPYC 1ère, 2e, 3e et 4e générations
- EPYC Embedded 3000, 7002, 7003 et 9003, R1000, R2000, 5000, et 7000
- Ryzen Embedded V1000, V2000 et V3000
- Ryzen 3000, 5000, série 4000, 7000, 7000, et 8000
- Ryzen 3000 Mobile, 5000 Mobile, 4000 Mobile, et 7000 Mobile
- Ryzen Threadripper série 3000 et 7000
- AMD Threadripper PRO (Castle Peak WS SP3, Chagall WS)
- AMD Athlon 3000 series Mobile (Dali, Pollock)
- AMD Instinct MI300A
AMD a déclaré dans son conseil qu'elle a déjà publié des mesures d'atténuation pour son ordinateur de bureau et de son système de gestion de l'information, avec d'autres corrections pour les processeurs intégrés à venir plus tard.
Incidences réelles et réponse
L'accès au niveau du noyau est une condition préalable à la réalisation de l'attaque Sinkclose.
AMD l'a noté dans une déclaration à Wired, sous-tendant la difficulté d'exploiter le CVE-2023-31315 dans des scénarios du monde réel.
Cependant, IOActive a répondu en disant que les vulnérabilités au niveau du noyau, bien que non généralisées, ne sont certainement pas rares dans les attaques sophistiquées, ce qui est vrai sur la base des attaques précédentes couvertes par BleepingComputer.
Les acteurs de Advanced Persistent Threat (APT), comme le groupe North Korean Lazarus, utilisent les techniques BYOVD (Bring Your Own Vulnerable Driver) ou même en exploitant la faille de Windows zero-day pour augmenter leurs privilèges et obtenir un accès au niveau du noyau.
Les gangs de ransomware utilisent également des tactiques BYOVD, en utilisant des outils de mise à l'excès de commande personnalisés qu'ils vendent à d'autres cybercriminels pour des profits supplémentaires.
Les fameux spécialistes de l'ingénierie sociale Scattered Spider ont également été repérés en exploitant BYOVD pour désactiver les produits de sécurité.
Ces attaques sont possibles via divers outils, provenant de pilotes signés par Microsoft, de pilotes antivirus, de pilotes graphiques MSI, de pilotes OEM sur écoute, et même d'outils anti-chef de jeu qui bénéficient d'un accès au niveau du noyau.
Tout cela dit, Sinkclose pourrait constituer une menace importante pour les organisations utilisant des systèmes basés sur la DMLA, en particulier de la part d'acteurs de la menace sophistiqués et parrainés par l'État, et ne devraient pas être ignorés.





Reply With Quote