La couche de microcode utilisée par les fabricants de puces pour effectuer des mises à jour peut être exploitée pour installer un rançongiciel dans les couches les plus profondes d’un système.
Christiaan Beek, un chercheur de l’entreprise de logiciels Rapid7, a découvert une méthode pour injecter directement un rançongiciel dans un CPU en utilisant des mises à jour de microcode personnalisées. Il met ainsi en garde contre une vulnérabilité sous-estimée qui opère à un niveau profond, sous le système d’exploitation.
Vulnérabilité critique
Le microcode est une couche logicielle située entre les instructions machine et le matériel lui-même, conçue pour les correctifs de bogues et les mises à jour par le fabricant de puces. Cependant, il s’avère également possible d’abuser de cette couche. La faille découverte permettrait aux attaquants de contourner l’instruction de sécurité RDRAND (Read Random) et d’injecter du microcode personnalisé.
Beek explique dans The Register qu’il a écrit un code de preuve de concept simulant le processus. « Bien entendu, nous n’allons pas le divulguer, mais c’est fascinant. Cela permet de contourner toute technologie de sécurité traditionnelle que nous possédons », souligne-t-il. La probabilité que ce risque soit exploité est faible, mais non négligeable. Sinon, Beek n’aurait pas pu l’exécuter lui-même.
Améliorer la sécurité
La manière dont les attaquants s’infiltrent « n’est pas de la haute mathématique », a-t-il ajouté. « Ce que je constate dans de nombreuses infractions liées aux rançongiciels : il s’agit d’une vulnérabilité à haut risque, ou les entreprises utilisent des mots de passe faibles sans authentification multifactorielle. C’est frustrant. »
Que doivent faire les organisations ? Beek exhorte tout le monde à se concentrer sur les principes fondamentaux de la cybersécurité. « En tant que secteur, nous consacrons beaucoup de temps et d’argent à l’innovation », a-t-il déclaré. « Mais en même temps, notre résilience cybernétique ne s’améliore pas suffisamment. »