AMD a confirmé une «vulnérabilité du processeur» non corrigé qui peut obliger les CISO à isoler leurs systèmes ou même à les entretenir jusqu’à ce qu’il y ait un correctif.
AMD a dû confirmer l’existence d’un problème de cybersécurité majeur dans son microcode de puce avant de pouvoir publier un correctif.
Le microcode se charge souvent pendant le démarrage et peut modifier les capacités des puces: les spécialistes de la sécurité recommandent que les CISO envisagent des mesures de protection extrêmes, y compris l’isolement du réseau, l’éventuel goûter de l’air et bloquer idéalement toutes les mises à jour et les correctifs jusqu’à ce que AMD résouse ce problème.
La divulgation a été forcée sur la DMLA après que le fabricant de PC a publié des détails sur le trou de cybersécurité dans le cadre d’une mise à jour du bios bêta. Bien qu’ASUS ait depuis supprimé cette partie de la mise à jour, AMD a décidé de confirmer les détails les plus en état d’adéquation sur le problème.
Bonnes nouvelles et mauvaises nouvelles
La nature technique du problème fournit à la fois de bonnes et de mauvaises nouvelles. La déclaration d’AMD selon laquelle «l’exécution de l’attaque nécessite à la fois l’accès au niveau de l’administrateur local au système et le développement et l’exécution d’un microcode malveillant» est essentiel.
La bonne nouvelle, dans un sens, est que ce vecteur d’attaque dépasse les moyens de la plupart des attaquants. Ils doivent d’abord obtenir un accès administratif local complet, puis ils doivent avoir les compétences et les outils pour créer un microcode malveillant réaliste.
La mauvaise nouvelle est que les attaquants qui ont de telles capacités, tels que les acteurs parrainés par l’État, pourraient utiliser ce problème pour livrer un faux microcode qui semble être signé par AMD ou une autre source de confiance. Le glitch entrave la capacité de la puce à s’authentifier, ce qui signifie que le microcode pourrait être en mesure de modifier la fonctionnalité du processeur.
L’histoire a été brisée par le registre, qui est entré en détail sur la façon dont le problème a été divulgué. Mais plus important encore pour les CISO, c’est ce qu’il faut faire jusqu’à ce que le correctif soit installé sur leurs systèmes.
Met les cisos dans une liaison
John Price, PDG de la société de sécurité basée à Cleveland, Subrosa, a déclaré qu’il y avait des antécédents de ces délais de développement de patchs.
«Nous n’avons aucune idée de combien de temps cela va prendre. Je procéderais comme si cela prendrait un certain temps », a déclaré Price.
Price a déclaré que le pépin non corrigé met les Cisos aux entreprises dans une obligation horrible. Cela signifie que rien d’extérieur qui essaie de toucher le processeur ne peut être autorisé, du moins pas tant que le problème n’est pas entièrement corrigé.
«Explorez une segmentation matérielle stricte, en particulier sur les systèmes critiques à haute priorité. Ce doit être une approche basée sur les risques », a-t-il déclaré, ajoutant que certaines entreprises pourraient avoir besoin de bloquer entièrement tous les changements de firmware.
«Si du point de vue du risque, il est logique de faire un écart d’air, alors faites-le absolument. Concentrez-vous sur l’élimination des risques. L’essentiel pourrait être la voie à suivre », a déclaré Price. « Si quelqu’un obtient un accès au niveau du système, vous avez de gros problèmes. »
Le prix a souligné la sophistication qu’un attaquant devrait profiter de ce trou, disant: «L’exploit nécessite des compétences hautement spécialisées pour fabriquer un microcode malveillant, ce qui le rend moins susceptible d’être répandu. Cependant, si un acteur de menace sophistiqué le perfectionne, l’impact pourrait être grave. »
Une autre préoccupation est que les problèmes de firmware chevauchent les lignes entre la conception du chipset, les fournisseurs de carte mère et les logiciels, a déclaré Price.
Flavio Villanoustre, directeur mondial de la sécurité de l’information de Lexisnexis Risk Solutions, a convenu avec le prix que les dommages causés par une attaque de microcode réussie pourraient être catastrophiques.
« Si un système est compromis à ce niveau, la possibilité de déployer un microcode malveillant au CPU pourrait faire un vecteur d’attaque très insidieux qui serait très difficile à identifier et à aborder », a déclaré Villanoustre. «La création de ces types d’attaques sophistiquées nécessiterait des ressources importantes, mais cela pourrait être quelque chose qu’un acteur parrainé par l’État pourrait certainement faire.»
La divulgation coordonnée est critique
Villanustre était l’un des nombreux spécialistes de la sécurité qui ont déclaré qu’une grande partie des dommages potentiels provenait de la DMLA, mais de la divulgation d’Asus.
« Il est possible que certains mauvais acteurs ingénieux le savaient déjà, mais le faire largement connu crée une exposition inutile à des organisations qui n’ont toujours pas de moyen d’atténuer le risque, car les patchs traditionnels ne sont pas disponibles », a déclaré Villanustre, ajoutant que » La divulgation d’Asus semble avoir été une erreur, mais cela aurait été irresponsable autrement. En tout cas, ce n’est pas la première fois que les CPU sont vulnérables et ce ne sera pas non plus la dernière fois. »
La fuite d’Asus était «soulignait l’importance critique de la divulgation de la vulnérabilité coordonnée. La révélation prématurément d’un défaut de sécurité renforce le risque de cyberattaques zéro jour et propage la confusion, qui peuvent tous deux nuire à la confiance dans l’ASUS et la DMLA par les utilisateurs et le public », a déclaré Frank Riccardi, spécialiste de la cybersécurité et auteur du livre,« I I Appréciez que la fuite était accidentelle, mais ce sera un confort froid si les cybercriminels exploitent la vulnérabilité avant que AMD ne libère le patch officiel. »