Les exploitations de failles au niveau des processeurs constituent un challenge de sécurité élevé impliquant à la fois les fournisseurs de puces, d'OS et de logiciels de sécurité. (crédit Smial/Wikipedia)
AMD a détecté quatre vulnérabilités dans de nombreuses puces Epyc et Ryzen exposant les systèmes d'entreprise à des attaques par canal auxiliaire. Microsoft et CrowdStrike mettent en garde contre les risques critiques malgré les notes de gravité inférieures du fournisseur de puces.
AMD a révélé ce mardi quatre vulnérabilités affectant ses processeurs qui pourraient permettre à des attaquants de voler des données sensibles dans des systèmes d'entreprise par le biais d'attaques par canal auxiliaire. Ces vulnérabilités, identifiées par le fournisseur de puces sous l'ID SB-7029; sont connues sous le nom de Transient Scheduler Attacks (TSA). Des modèles de puces Epyc pour serveurs aussi bien que des processeurs Ryzen pour PC fixes et portables sont touchés. Cette divulgation a immédiatement déclenché une controverse sur l'évaluation de la gravité, l'entreprise de cybersécurité Crowdstrike classant les failles clés comme des menaces « critiques » malgré les évaluations de gravité moyenne et faible émises par AMD. Ce désaccord met en évidence les difficultés croissantes auxquelles les entreprises sont confrontées lorsqu'elles évaluent les risques de sécurité au niveau des processeurs. L'entreprise a commencé à diffuser des mises à jour du micrologiciel d'initialisation de la plate-forme auprès des fabricants d'équipement d'origine, tout en coordonnant des mesures d'atténuation complètes avec les fournisseurs de systèmes d'exploitation.
Ces vulnérabilités sont apparues à la suite de l'enquête menée par la firme de Santa Clara sur un rapport de recherche de Microsoft intitulé "Enter, Exit, Page Fault, Leak : Testing Isolation Boundaries for Microarchitectural Leaks". Elle a découvert ce qu'elle appelle des « attaques transitoires du planificateur liées au temps d'exécution des instructions dans des conditions microarchitecturales spécifiques. » Ces attaques exploitent les « faux achèvements » dans les opérations du processeur. Lorsque les puces s'attendent à ce que les instructions de chargement se terminent rapidement, mais que les conditions empêchent leur exécution, les attaquants peuvent mesurer les différences de temps pour extraire des informations sensibles. « Dans certains cas, un attaquant peut être en mesure d'utiliser ces informations temporelles pour déduire des données d'autres contextes, ce qui entraîne une fuite d'informations », indique l'entreprise dans son bulletin de sécurité. Elle a identifié deux variantes d'attaques distinctes que les entreprises doivent connaitre. Les attaques TSA-L1, qui ciblent les erreurs dans la manière dont le cache L1 traite les recherches de microtags, ce qui peut entraîner un chargement de données incorrect que les attaquants peuvent détecter. Et les attaques TSA-SQ qui se produisent lorsque les instructions de chargement récupèrent par erreur des données de la file d'attente de stockage alors que les données requises ne sont pas disponibles, ce qui peut permettre de déduire des informations sensibles à partir d'opérations exécutées précédemment, ajoute le bulletin.
Crowdstrike monte la classification des menaces malgré les scores CVSS
L'étendue des systèmes affectés présente des défis importants pour les équipes de gestion des correctifs des entreprises. Les composants vulnérables comprennent les Epyc de 3e et 4e génération qui alimentent les infrastructures des centres de données en nuage et sur site, les puces de la série Ryzen déployés dans les environnements de postes de travail d'entreprise et les puces mobiles d'entreprise qui prennent en charge les arrangements de travail à distance et hybrides.
Alors qu'AMD considère ces failles comme étant de gravité moyenne et faible sur la base des exigences de complexité de l'attaque, Crowdstrike les a classées indépendamment comme des menaces critiques pour l'entreprise. L'entreprise de sécurité a spécifiquement signalé les vulnérabilités CVE-2025-36350 et CVE-2025-36357 comme étant des « vulnérabilités critiques de divulgation d'informations dans les processeurs AMD », bien qu'elles aient toutes deux un score CVSS de seulement 5,6. Selon l'évaluation des menaces de Crowdstrike, ces vulnérabilités « affectant respectivement Store Queue et L1 Data Queue, permettent à des attaquants locaux authentifiés disposant de faibles privilèges d'accéder à des informations sensibles par le biais d'attaques de planificateurs transitoires sans nécessiter d'interaction de la part de l'utilisateur ». Cette évaluation reflète une évaluation des risques axée sur l'entreprise qui prend en compte les réalités opérationnelles au-delà de la complexité technique. La combinaison de privilèges faibles et de l'absence d'interaction avec l'utilisateur rend ces trous de sécurité particulièrement préoccupants dans les environnements où les attaquants peuvent avoir déjà obtenu un accès initial au système par le biais de logiciels malveillants, de compromissions de la chaîne d'approvisionnement ou de menaces d'initiés. La méthode de classification de l'éditeur de sécurité semble accorder plus d'importance aux possibilités d'escalade des privilèges et de contournement des mécanismes de sécurité qu'aux conditions techniques préalables. Dans les environnements d'entreprise où des acteurs sophistiqués parviennent régulièrement à accéder au système local, la capacité d'extraire des informations au niveau du noyau sans interaction avec l'utilisateur représente un risque opérationnel important, quelle que soit la complexité de l'attaque initiale.
Microsoft coordonne la réponse des différents fournisseurs
Selon lui, « Microsoft a inclus ces vulnérabilités AMD dans le guide des mises à jour de sécurité parce que leur atténuation nécessite des mises à jour de Windows. Les dernières versions de l'OS apportent des protections contre ces vulnérabilités. » Cette réponse coordonnée reflète la complexité de la sécurité des processeurs modernes, dont les vulnérabilités nécessitent souvent des mises à jour simultanées des micrologiciels, des systèmes d'exploitation et, éventuellement, des couches d'hyperviseurs. L'implication de la firme de Redmond démontre que les failles de sécurité au niveau des processeurs nécessitent de plus en plus une coordination à l'échelle de l'écosystème plutôt que des solutions provenant d'un seul fournisseur. Microsoft et AMD estiment que l'exploitation est « moins probable », Crowdstrike notant qu'« il n'y a aucune preuve de divulgation publique ou d'exploitation active à l'heure actuelle. »
L'entreprise de sécurité a comparé ces failles aux précédentes « vulnérabilités de contournement du magasin spéculatif » qui ont affecté les processeurs, suggérant que les modèles d'atténuation établis peuvent être adaptés aux nouveaux vecteurs d'attaque. La stratégie d'atténuation d'AMD implique ce que la société décrit comme des versions de microprogrammes d'initialisation de plate-forme qui traitent les vulnérabilités de synchronisation au niveau du processeur. Cependant, une protection complète nécessite des mises à jour correspondantes du système d'exploitation qui peuvent entraîner des problèmes de performance pour les déploiements en entreprise.
Des failles difficiles à traiter
Cette évaluation fournit un contexte supplémentaire pour les équipes de sécurité des entreprises qui naviguent dans la complexité des vulnérabilités affectant les processeurs. Alors que la notation CVSS traditionnelle se concentre sur les vecteurs d'attaque techniques, les entreprises de sécurité telles que l'éditeur de Falcon prennent souvent en compte des risques opérationnels plus larges lorsqu'elles classent les menaces. Le fait que ces attaques ne requièrent que de « faibles privilèges » et fonctionnent « sans interaction avec l'utilisateur » les rend particulièrement préoccupantes pour les environnements d'entreprise où les attaquants peuvent déjà avoir obtenu un accès initial par d'autres moyens. La classification « critique » du fournisseur reflète le fait que des acteurs sophistiqués parviennent régulièrement à atteindre les conditions d'accès local requises par ces vulnérabilités. L'affirmation de Microsoft selon laquelle « aucun code d'exploitation connu n'est disponible nulle part » rassure temporairement, mais l'histoire de la sécurité des entreprises montre qu'un code de preuve de concept apparaît souvent rapidement après la divulgation d'une vulnérabilité. Les failles TSA coïncident également avec des préoccupations plus générales en matière de sécurité des puces. À l'instar des précédentes attaques par canal latéral telles que Spectre et Meltdown, ces trous de sécurité exploitent des fonctions d'optimisation fondamentales du processeur, ce qui les rend particulièrement difficiles à traiter sans compromis en termes de performances.
Suivez-nous