Découverte par Enrique NISSIM et Krzysztof OKUPSKI de la société IOActive, la faille qu’ils ont baptisée Sinkclose a été rendue publique le 10 août lors d’une présentation à la DefCon. Cette divulgation ayant été faite en collaboration avec AMD, nous sommes donc dans un contexte de Responsible Disclosure, ce qui signifie que le fondeur a eu tout le temps de travailler sur des mesures de mitigation et qu’il ne faut donc pas paniquer !
Si cette faille, officiellement baptisée CVE-2023-31315, n’est que d’une sévérité ‘Elevée’ (score CVSS de 7.5/10), cela s’explique plus par la difficulté de son exploitation (AV:L/AC:H/PR:H) que par la faiblesse de son potentiel destructeur : il est en effet similaire à celui des célèbres failles Spectre et Meltdown de 2017 ! Si celles-ci n’avaient alors pas occasionné de gros dégâts, c’est uniquement parce que le Responsible Disclosure avait alors permis à toute l’industrie de colmater ces brèches avant qu’elles ne soient rendues publiques. On peut donc espérer que ce soit aussi le cas ici.
Sinkclose : mais concrètement, c’est quoi le risque ?
C’est en fait très simple : Sinkclose permet de faire exécuter du code au CPU à l’insu du système d’exploitation et/ou de l’hyperviseur (en environnement virtualisé). Le seul prérequis c’est d’avoir un accès privilégié au noyau du système d’exploitation. On peut donc imaginer deux grands types d’attaques exploitant cette vulnérabilité :
- Sur un PC personnel (desktop ou laptop avec un système d’exploitation installé en baremetal), un logiciel malveillant pourrait exploiter une première vulnérabilité lui permettant un accès au noyau (escalade de privilège), ou se faire passer pour un logiciel ayant légitimement ce genre de droits (comme un driver par exemple), puis utiliser Sinkclose pour se rendre invisible aux yeux du système dans le plus pur style rootkit.
- Sur un serveur (plusieurs machines virtuelles tournant sur un hyperviseur), un administrateur qui a légitimement accès au noyau du système d’exploitation de sa VM peut utiliser Sinkclose pour prendre le contrôle de l’hyperviseur et des autres VMs qu’il héberge. On appelle ça du VM escaping.
Si le premier scénario peut faire peur au vulgus pecum, imaginez donc le potentiel de destruction du second : tous les clouds providers qui utilisent des processeurs AMD et qui vendent de la VMs vont certainement avoir une rentrée stressante !
Suis-je concerné(e) ?
Contrairement à Spectre & Meltdown qui touchaient une grande variété de CPU du marché, Sinkclose ne concerne que ceux d’AMD. Par contre, ce sont quasiment tous les CPU de la marque depuis 20 ans qui sont touchés, et en particulier la gamme professionnelle EPYC de Naples (2017) à Siena (2023). La gamme Turin sortie en 2024 n’étant pas concernée, on peut donc en déduire qu’AMD est au courant de Sinkclose depuis plusieurs mois déjà, et que toutes les nouvelles gammes de CPU qui sont sorties et sortiront en 2024 ont été corrigées. Côté desktop, si les Ryzen 5000/7000/8000 sont bien concernés, les tout nouveaux Ryzen 9000 ont eux aussi été corrigés.
Et on fait quoi alors ?
Ben rien… on attend et on regarde ce qui va se passer. Mais rassurez-vous, si AMD a validé une présentation à la DefCon, c’est que tout est prêt pour limiter la casse. Et si ce n’est pas le cas, si quelques hackers très ingénieux arrivent à contourner les mesures de mitigation qui vont être mises en place pour conduire des attaques, on va rapidement le savoir !
