Dans une déclaration à WIRED, AMD a souligné la difficulté d'exploiter Sinkclose : pour tirer parti de cette vulnérabilité, un pirate doit déjà avoir accès au noyau d'un ordinateur, le cœur de son système d'exploitation. AMD compare la technique Sinkhole à une méthode permettant d'accéder aux coffres-forts d'une banque après avoir contourné ses alarmes, ses gardes et sa porte de coffre.
Nissim et Okupski répondent que même si l'exploitation de Sinkclose nécessite un accès au niveau du noyau d'une machine, de telles vulnérabilités sont exposées dans Windows et Linux pratiquement tous les mois. Ils soutiennent que les pirates informatiques sophistiqués parrainés par l'État qui pourraient tirer profit de Sinkclose possèdent probablement déjà des techniques pour exploiter ces vulnérabilités, connues ou inconnues. « Les gens ont déjà des exploits du noyau pour tous ces systèmes », explique Nissim. « Ils existent et sont à la disposition des attaquants. C'est la prochaine étape. »
Les chercheurs d'IOActive Krzysztof Okupski (à gauche) et Enrique Nissim.Photographie : Roger Kisby
La technique Sinkclose de Nissim et Okupski fonctionne en exploitant une fonctionnalité obscure des puces AMD connue sous le nom de TClose. (Le nom Sinkclose, en fait, vient de la combinaison de ce terme TClose avec Sinkhole, le nom d'un exploit antérieur du mode de gestion du système découvert dans les puces Intel en 2015.) Dans les machines basées sur AMD, une protection connue sous le nom de TSeg empêche les systèmes d'exploitation de l'ordinateur d'écrire dans une partie protégée de la mémoire destinée à être réservée au mode de gestion du système, connu sous le nom de System Management Random Access Memory ou SMRAM. La fonction TClose d'AMD, cependant, est conçue pour permettre aux ordinateurs de rester compatibles avec les appareils plus anciens qui utilisent les mêmes adresses mémoire que la SMRAM, en remappant d'autres mémoires sur ces adresses SMRAM lorsqu'elle est activée. Nissim et Okupski ont découvert qu'avec seulement le niveau de privilèges du système d'exploitation, ils pouvaient utiliser cette fonction de remappage TClose pour tromper le code SMM afin qu'il récupère les données qu'ils ont falsifiées, d'une manière qui leur permet de rediriger le processeur et de l'amener à exécuter son propre code au même niveau SMM hautement privilégié.
« Je pense que c'est le bug le plus complexe que j'ai jamais exploité », déclare Okupski.
Nissim et Okupski, tous deux spécialisés dans la sécurité du code de bas niveau comme le firmware des processeurs, expliquent qu'ils ont décidé d'enquêter sur l'architecture d'AMD il y a deux ans, simplement parce qu'ils estimaient qu'elle n'avait pas été suffisamment examinée par rapport à Intel, même si sa part de marché augmentait. Ils ont trouvé le cas critique TClose qui a permis Sinkclose, disent-ils, simplement en lisant et en relisant la documentation d'AMD. « Je pense avoir lu la page où se trouvait la vulnérabilité environ mille fois », dit Nissim. « Et puis mille et une fois, je l'ai remarquée. » Ils ont alerté AMD de la faille en octobre de l'année dernière, disent-ils, mais ont attendu près de 10 mois pour donner à AMD plus de temps pour préparer un correctif.
Pour les utilisateurs qui cherchent à se protéger, Nissim et Okupski indiquent que pour les machines Windows (probablement la grande majorité des systèmes concernés), ils s'attendent à ce que les correctifs pour Sinkclose soient intégrés aux mises à jour partagées par les fabricants d'ordinateurs avec Microsoft, qui les intégrera aux futures mises à jour du système d'exploitation. Les correctifs pour les serveurs, les systèmes embarqués et les machines Linux peuvent être plus fragmentaires et manuels ; pour les machines Linux, cela dépendra en partie de la distribution Linux installée sur l'ordinateur.
Nissim et Okupski affirment qu'ils ont convenu avec AMD de ne publier aucun code de preuve de concept pour leur exploit Sinkclose pendant plusieurs mois, afin de laisser plus de temps pour résoudre le problème. Mais ils soutiennent que, malgré toute tentative d'AMD ou d'autres pour minimiser la difficulté d'exploitation de Sinkclose, cela ne devrait pas empêcher les utilisateurs d'appliquer le correctif dès que possible. Les pirates informatiques sophistiqués ont peut-être déjà découvert leur technique, ou pourraient comprendre comment le faire après que Nissim et Okupski auront présenté leurs découvertes à Defcon.
Même si Sinkclose nécessite un accès relativement profond, préviennent les chercheurs d'IOActive, le niveau de contrôle beaucoup plus poussé qu'il offre signifie que les cibles potentielles ne devraient pas attendre pour mettre en œuvre les correctifs disponibles. « Si les fondations sont brisées », explique Nissim, « alors la sécurité de l'ensemble du système est brisée. »
Mise à jour à 9 h HE, le 9/8/2024 : Suite à la publication de cet article, AMD a mis à jour sa page de bulletin de sécurité pour inclure une liste des puces affectées par Sinkclose.