AMD enquête sur les rapports de failles de Ryzen - AvisExpert.net

MIS À JOUR à la fin du rapport avec des questions soulevées sur l'éthique des chercheurs en sécurité impliqués, et une déclaration de CTS-Labs. Cet article a été initialement publié à 12h34. 13 mars et a depuis été mis à jour.

Les chercheurs ont découvert 13 failles de sécurité critiques dans les processeurs Ryzen et EPYC d'AMD qui peuvent infecter les PC avec des logiciels malveillants, donner aux attaquants l'accès à des données importantes, lire et écrire des fichiers et prendre entièrement le contrôle des chipsets. CNET a d'abord signalé les problèmes.

Les vulnérabilités ont été découvertes par la société de sécurité israélienne CTS-Labs, qui a donné à AMD un préavis de moins de 24 heures avant que CTS-Labs ne révèle les problèmes. (La pratique standard en matière de recherche de sécurité consiste à fournir au fournisseur un préavis de 90 jours.) Cependant, CTS-Labs est prudent sur les détails techniques, ce qui peut rendre les attaques exploitant les failles difficiles à reproduire.

Les failles et leurs attaques associées se répartissent en quatre camps, que CTS-Labs a nommés Masterkey, Ryzenfall, Chimera et Fallout.

"Chez AMD, la sécurité est une priorité absolue et nous travaillons continuellement pour assurer la sécurité de nos utilisateurs à mesure que de nouveaux risques surviennent", a déclaré un porte-parole d'AMD à ReviewsExpert.net. "Nous enquêtons sur ce rapport, que nous venons de recevoir, pour comprendre la méthodologie et le mérite des résultats."

Dans un article de blog, AMD a mis en doute le rapport :

"Nous venons de recevoir un rapport d'une société appelée CTS Labs affirmant qu'il existe des vulnérabilités de sécurité potentielles liées à certains de nos processeurs. Nous enquêtons et analysons activement ses conclusions. Cette société était auparavant inconnue d'AMD et nous trouvons cela inhabituel pour une sécurité entreprise à publier ses recherches dans la presse sans laisser à l'entreprise un délai raisonnable pour enquêter et traiter ses conclusions. Chez AMD, la sécurité est une priorité absolue et nous travaillons continuellement pour assurer la sécurité de nos utilisateurs à mesure que de nouveaux risques potentiels surviennent . Nous mettrons à jour ce blog au fur et à mesure de l'actualité."

Masterkey peut affecter la plus large bande de machines, y compris les ordinateurs portables (exécutant Ryzen Mobile), les puissantes machines créatives (avec Ryzen Pro) et les postes de travail et serveurs (exécutant respectivement les puces Ryzen Workstation et EPYC Server). L'attaque consiste à reflasher le BIOS, ce qui peut être fait via une infection par un logiciel malveillant. Une exploitation réussie de la faille permettrait aux attaquants de désactiver les fonctionnalités de sécurité et même de lancer des programmes indésirables au démarrage.

Ryzenfall, Chimera et Fallout sont moins une menace directe, car ils exigent chacun qu'un attaquant doit "être capable d'exécuter un programme avec des privilèges d'administrateur élevés sur la machine locale" et fournir "un pilote signé numériquement par le fournisseur", selon au livre blanc des chercheurs. (Des explications plus simples se trouvent sur le nouveau site Web dédié à la promotion des failles, AMDFlaws.com.)

Si les mauvais acteurs, même ceux sans accès physique direct, avaient ce genre de pouvoir sur une machine, ils pourraient faire ce qu'ils voulaient de toute façon. Fournir une signature numérique usurpée ne fait pas partie des compétences de la plupart des cybercriminels ordinaires.

Ryzenfall permet aux attaquants de cibler n'importe quelle machine basée sur Ryzen et d'utiliser un code malveillant pour prendre complètement le contrôle du processeur, ce qui permettrait d'accéder à toutes sortes de données protégées, y compris les mots de passe. Les chercheurs suggèrent qu'il y a des parties du processeur auxquelles Ryzenfall peut accéder et auxquelles les attaques précédentes n'ont pas pu accéder.

Chimera, qui affecte les machines Ryzen Workstation et Ryzen Pro, a deux variantes : hardware et firmware. Sur le site matériel, le chipset permet d'exécuter des logiciels malveillants, de sorte qu'ils peuvent être infectés via Wi-Fi, Bluetooth ou tout autre trafic sans fil. Du côté du firmware, il y a les problèmes que les logiciels malveillants peuvent être placés directement sur le processeur. Mais vous devez d'abord affaiblir le processeur avec l'attaque Chimera.

Fallout est susceptible d'affecter uniquement les entreprises, car il est limité aux puces de serveur EPYC. Il permet aux attaquants à la fois de lire et d'écrire à partir de zones de mémoire protégées, y compris Windows Defender Credential Guard, qui stocke les données dans une partie séparée du système d'exploitation.

"Nous avons récemment été informés de ce rapport et examinons les informations", a déclaré un porte-parole de Microsoft.

Les chercheurs ont déclaré à CNET que ces failles pourraient prendre plusieurs mois à être corrigées, bien qu'AMD n'ait pas encore fourni de calendrier. Pour le moment, la meilleure option est de toujours garder votre système d'exploitation à jour et, si possible, d'installer les derniers correctifs du fournisseur de votre machine ou d'AMD. Ce sont les mêmes conseils à suivre si votre machine est affectée par Spectre ou Meltdown, qui ont affecté les processeurs Intel, AMD et ARM.

MISES À JOUR 13 mars : Nous n'avons pas remarqué de lien en petits caractères sur le site AMDFlaws.com qui mène à un « Avertissement juridique ». Le texte de la clause de non-responsabilité soulève certaines inquiétudes quant aux pratiques éthiques de CTS.

"Bien que nous ayons une croyance de bonne foi dans notre analyse et que nous la croyions objective et impartiale", indique la clause de non-responsabilité. « vous êtes informé que nous pouvons avoir, directement ou indirectement, un intérêt économique dans la performance des titres des sociétés dont les produits font l'objet de nos rapports."

"CTS n'accepte aucune responsabilité en cas d'erreurs ou d'omissions", ajoute la clause de non-responsabilité. "CTS se réserve le droit de modifier le contenu de ce site Web et les restrictions sur son utilisation, avec ou sans préavis, et CTS se réserve le droit de s'abstenir de mettre à jour ce site Web même s'il devient obsolète ou inexact."

En clair, la clause de non-responsabilité indique que CTS ne considérerait pas hypothétiquement comme contraire à l'éthique s'il avait pris une position courte sur les actions d'AMD avant la publication de son rapport. Il dit également que si quelque chose dans le rapport est faux, ce n'est pas la faute de CTS.

Peu de temps après que le CTS a publié son rapport mardi à 10 heures, heure de l'Est, une société d'études de marché appelée Viceroy Research a publié son propre PDF de 25 pages basé sur le rapport du CTS et proclamant la "nécrologie" d'AMD. Viceroy est spécialisé dans la vente à découvert d'actions d'entreprises qu'il déclare avoir des vices cachés.

Inutile de dire que de telles clauses de non-responsabilité sont très inhabituelles au sein de la communauté de la recherche en sécurité, et le moment et la longueur du rapport Viceroy suggèrent que la société d'études de marché avait été informée à l'avance du rapport de CTS.

Pourtant, certains experts pensent que malgré les motifs, les défauts pourraient être réels.

Indépendamment du battage médiatique autour de la version, les bogues sont réels, décrits avec précision dans leur rapport technique (qui n'est pas public, si je ne m'abuse), et leur code d'exploitation fonctionne. - Dan Guido (@dguido) 13 mars 2022-2023

Nous pensons toujours que le rapport de recherche sur la sécurité de CTS réussit le test d'odeur, mais nous surveillerons celui-ci de près.

MISE À JOUR du 14 mars : Par l'intermédiaire d'un représentant, Yaron Luk, co-fondateur de CTS-Labs, nous a fait une déclaration.

"Nous avons soigneusement vérifié nos résultats à la fois en interne et avec un validateur tiers, Trail of Bits", indique en partie le communiqué, faisant référence à la société de Dan Guido. « Nous avons fourni une description technique complète et une preuve de concept des vulnérabilités à AMD, Microsoft, Dell, HP, Symantec et d'autres sociétés de sécurité.

"La divulgation de tous les détails techniques mettrait les utilisateurs en danger. Nous attendons avec impatience la réponse d'AMD à nos conclusions."

Image : AMD