Après l'affaire des failles Meltdown et Spectre, la société de cybersécurité israélienne CTS Labs indique avoir découvert treize vulnérabilités de sécurité critiques affectant des processeurs Ryzen, Ryzen Pro, Ryzen Mobile et EPYC d'AMD à architecture Zen.
CTS Labs assure avoir prévenu AMD en amont, ainsi que d'autres groupes comme Microsoft, HP, Dell et quelques sociétés de sécurité, afin de plancher sur le développement de correctifs et mesures d'atténuation. Toutefois, le principal intéressé précise n'avoir été alerté que tardivement.
" Nous enquêtons et analysons activement ces trouvailles. La société CTS Labs était auparavant inconnue d'AMD, et nous trouvons inhabituel pour une société de sécurité de publier ses recherches dans la presse, sans accorder à l'entreprise un délai raisonnable pour enquêter et donner suite ", écrit AMD en soulignant que la sécurité est une priorité absolue.
Il faut dire que AMD a eu un délai de seulement un jour pour réagir, ce qui semble totalement ubuesque et suscite de nombreuses critiques de la part de la communauté de la sécurité informatique. Certains critiquent également un manque de détails techniques qui est légitimé par le fait d'empêcher quiconque de reproduire des attaques.
Sur le site dédié AMDFlaws, il est par ailleurs stipulé que CTS Labs peut avoir, directement ou indirectement, un intérêt économique avec ses trouvailles. Les vulnérabilités sont essentiellement présentées comme des variantes de failles principales Masterkey, Ryzenfall, Fallout et Chimera.
Selon CTS Labs, et parmi d'autres choses, une association entre Masterkey et Ryzenfall permettrait notamment à des attaquants d'installer un malware persistant sur le processeur sécurisé (Secure Processor). Fallout représenterait une menace pour le bootloader (chargeur d'amorçage), et une attaque Chimera permettrait l'accès à un ensemble de backdoors cachées.
Comme caution pour ses trouvailles, CTS Labs souligne que Dan Guido, chercheur en sécurité et CEO de Trails of Bits, a pu vérifier de manière indépendante les vulnérabilités et du code d'exploitation.
Sur Twitter, ce dernier écrit : " Indépendamment du battage médiatique autour de cette publication, les bugs sont réels, correctement décrits dans leur rapport technique (qui n'est pas public), et leur code d'exploitation fonctionne. "
Regardless of the hype around the release, the bugs are real, accurately described in their technical report (which is not public afaik), and their exploit code works.
— Dan Guido (@dguido) 13 mars 2018
Il souligne que pour une exploitation, toutes les vulnérabilités nécessitent d'abord pour un attaquant d'obtenir des droits administrateur.
