DĂ©couverte par Enrique NISSIM et Krzysztof OKUPSKI de la sociĂ©tĂ© IOActive, la faille qu’ils ont baptisĂ©e Sinkclose a Ă©tĂ© rendue publique le 10 aoĂ»t lors d’une prĂ©sentation Ă la DefCon. Cette divulgation ayant Ă©tĂ© faite en collaboration avec AMD, nous sommes donc dans un contexte de Responsible Disclosure, ce qui signifie que le fondeur a eu tout le temps de travailler sur des mesures de mitigation et qu’il ne faut donc pas paniquer !
Si cette faille, officiellement baptisĂ©e CVE-2023-31315, n’est que d’une sĂ©vĂ©ritĂ© ‘ElevĂ©e’ (score CVSS de 7.5/10), cela s’explique plus par la difficultĂ© de son exploitation (AV:L/AC:H/PR:H) que par la faiblesse de son potentiel destructeur : il est en effet similaire Ă celui des cĂ©lèbres failles Spectre et Meltdown de 2017 ! Si celles-ci n’avaient alors pas occasionnĂ© de gros dĂ©gâts, c’est uniquement parce que le Responsible Disclosure avait alors permis Ă toute l’industrie de colmater ces brèches avant qu’elles ne soient rendues publiques. On peut donc espĂ©rer que ce soit aussi le cas ici.
Sinkclose : mais concrètement, c’est quoi le risque ?
C’est en fait très simple : Sinkclose permet de faire exĂ©cuter du code au CPU Ă l’insu du système d’exploitation et/ou de l’hyperviseur (en environnement virtualisĂ©). Le seul prĂ©requis c’est d’avoir un accès privilĂ©giĂ© au noyau du système d’exploitation. On peut donc imaginer deux grands types d’attaques exploitant cette vulnĂ©rabilitĂ© :
- Sur un PC personnel (desktop ou laptop avec un système d’exploitation installĂ© en baremetal), un logiciel malveillant pourrait exploiter une première vulnĂ©rabilitĂ© lui permettant un accès au noyau (escalade de privilège), ou se faire passer pour un logiciel ayant lĂ©gitimement ce genre de droits (comme un driver par exemple), puis utiliser Sinkclose pour se rendre invisible aux yeux du système dans le plus pur style rootkit.
- Sur un serveur (plusieurs machines virtuelles tournant sur un hyperviseur), un administrateur qui a lĂ©gitimement accès au noyau du système d’exploitation de sa VM peut utiliser Sinkclose pour prendre le contrĂ´le de l’hyperviseur et des autres VMs qu’il hĂ©berge. On appelle ça du VM escaping.
Si le premier scénario peut faire peur au vulgus pecum, imaginez donc le potentiel de destruction du second : tous les clouds providers qui utilisent des processeurs AMD et qui vendent de la VMs vont certainement avoir une rentrée stressante !
Suis-je concerné(e) ?
Contrairement Ă Spectre & Meltdown qui touchaient une grande variĂ©tĂ© de CPU du marchĂ©, Sinkclose ne concerne que ceux d’AMD. Par contre, ce sont quasiment tous les CPU de la marque depuis 20 ans qui sont touchĂ©s, et en particulier la gamme professionnelle EPYC de Naples (2017) Ă Siena (2023). La gamme Turin sortie en 2024 n’Ă©tant pas concernĂ©e, on peut donc en dĂ©duire qu’AMD est au courant de Sinkclose depuis plusieurs mois dĂ©jĂ , et que toutes les nouvelles gammes de CPU qui sont sorties et sortiront en 2024 ont Ă©tĂ© corrigĂ©es. CĂ´tĂ© desktop, si les Ryzen 5000/7000/8000 sont bien concernĂ©s, les tout nouveaux Ryzen 9000 ont eux aussi Ă©tĂ© corrigĂ©s.
Et on fait quoi alors ?
Ben rien… on attend et on regarde ce qui va se passer. Mais rassurez-vous, si AMD a validĂ© une prĂ©sentation Ă la DefCon, c’est que tout est prĂŞt pour limiter la casse. Et si ce n’est pas le cas, si quelques hackers très ingĂ©nieux arrivent Ă contourner les mesures de mitigation qui vont ĂŞtre mises en place pour conduire des attaques, on va rapidement le savoir !
