Retour des failles de sécurité : à AMD de mordre la poussière !

Le phénomène est désormais bien connu : à utiliser des applications et du matériel en quantité, une faille de sécurité réussit de temps à autre à se glisser dans nos logiciels chéris. Lorsque cela arrive, une seule solution : la mise à jour ! Et c’est bien ce que nous vous conseillons de faire côté BIOS, car AMD vient de dévoiler la présence de 4 failles de sécurité dans ses processeurs, dont le flashage du micrologiciel de démarrage est la seule solution corrective possible.

Plus précisément, le souci se situe au niveau de l’interface SPI, un standard assez simple de communication série synchrone datant… des années 1980. Pourquoi diable l’intégrer dans un CPU de 2024, diriez-vous ? Hé bien, puisque le bousin est ancien, il est relativement simple et stable : en voilà un candidat parfait pour réaliser des mises à jour de code situé à très bas niveau tel l’AGESA ! De ce fait, une faille à ce niveau permet de faire à peu près tout et n’importe quoi, voyez donc :

• la CVE-2023-20576 permet de manipuler la ROM SPI pour effectuer des attaques par déni de service (DDoS) ou une escalade de privilège.
• la CVE-2023-20577 permet l’exécution de code arbitraire dans le cas où une autre faille (typiquement la première citée) est utilisée pour manipuler la mémoire SPI.
• la CVE-2023-20579 permet à un hacker possédant un accès ring0, c’est-à-dire en mode noyau (le même niveau d’accès au matériel que les composants internes de Windows) de traverser certaines protections. Typiquement, un accès ring0 est tout de même très difficile à obtenir, et passe par l’exploitation de bugs de drivers.
• la CVE-2023-20587, similairement à la CVE-2023-20577, permet aussi à une personne malveillante d’exécuter du code arbitraire dans le cas où ce dernier aurait accès à la mémoire SPI… mais par un autre moyen.

Si nous ne savons pas tout à fait de quelles barrières il est question concernant la troisième faille, AMD peut faire référence aux mécanismes de cloisonnement des machines virtuelles, une sécurité omniprésente dans le cloud. Autant dire que les professionnels ont de quoi avoir des sueurs froides, car un sacré nombre de CPU de la firme sont impactés : de l’EPYC de la première à la 4ème génération, des Ryzen de bureau entre la série 3000 et les derniers 7000, les ThreadRipper 3000, les versions PRO 3000WX et 5000WX, ainsi que les versions mobiles de la 3000 à la 7000, incluant les 7020, 7035 et 7040. Certains modèles des gammes embarqués sont aussi vulnérables, direction le descriptif par la firme si vous voulez fouiner de ce côté-là.

Quand vient le moment le flasher son BIOS…

Au niveau des correctifs, il faudra mettre à jour son AGESA pour être protégé, une opération qui va vite devenir plus complexe que prévue si votre carte mère est un modèle obscur, ou si votre laptop n’a pas un support très poussé par son fabriquant. Nous pensons notamment aux mobales AM4 série 200 et 300, concernées, mais en fin de vie.

À noter que la plupart de ces nouveaux AGESA patchent par la même occasion Zenbleed, une faille datant de l’été dernier ; et que les AGESA correctifs ont été rendus disponibles dès la sortie des CPU utilisant les sockets AM5. Autrement dit, ceux-ci ont déjà été patchés via les BIOS d’usine des mobales ; similairement aux Threadripper 7000 qui, eux, n’ont jamais été vulnérables. En fin de compte, seuls les Ryzen Embedded V2000 et V3000 sont en retard sur l’AGESA correctif (AMD le sortira en avril si tout se passe bien). Vérifiez donc bien sur quel BIOS vous tourner avant de flasher à l’aveugle ! (Source : Tom’s Hardware)