Vulnérabilités dans des processeurs AMD (SMM Callout)
Date de publication :
Trois vulnérabilités importantes ont été découvertes dans des processeurs AMD. Elles peuvent permettre à un attaquant de prendre le contrôle de l’UEFI, ce qui permet in fine de prendre le contrôle du système. Une authentification est nécessaire pour pouvoir exploiter ces vulnérabilités.
CVE-2020-12890, CVE-2020-14032, Pas de CVE attribuée (SMM Callout) [Score CVSS v3 : En cours de calcul] : Des vulnérabilités permettant de prendre le contrôle de l'UEFI (Unified Extensible Firmware Interface) ont été découvertes dans des processeurs AMD. Le System Management Mode (SMM), qui se trouve au coeur des processeurs AMD et gère des fonctions comme la gestion de l'alimentation, la mise en veille du système ou les erreurs de mémoire, et possède donc des privilèges élevés sur la machine avec un contrôle total sur le noyau du système d'exploitation, est vulnérable à une exécution de code arbitraire. Pour permettre l'exploitation de ces vulnérabilités, il est cependant nécessaire d'obtenir un accès préalable au système, que ce soit physiquement ou à distance.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Prise de contrôle totale de la machine par un attaquant authentifié
Criticité
- Score CVSS v3 : En cours de calcul
Existence d’un code d’exploitation
- Un protocole d’exploitation est disponible publiquement
Composants vulnérables
- Processeurs AMD APU commercialisés entre 2016 et 2019
CVE
- CVE-2020-12890
- CVE-2020-14032
- La troisième vulnérabilité n’a pas de CVE attribuée
Solutions ou recommandations
Mise en place de correctifs de sécurité
La vulnérabilité CVE-2020-14032 a été corrigée par AMD le 8 juin 2020. Les correctifs de sécurité pour les deux autres vulnérabilités sont prévus pour la fin du mois de juin 2020.
Solution de contournement
Aucune solution de contournement n’est disponible