AMD a révélé que son utilitaire logiciel populaire Ryzen Master, qui active les capacités de surveillance du processeur et d’overclocking pour sa gamme de processeurs grand public, présente une nouvelle vulnérabilité, classée 7.2 (élevée), qui pourrait permettre à un attaquant de prendre le contrôle complet du système. AMD a publié une nouvelle version mise à jour de Ryzen Master pour Windows 10 et Windows 11 qui corrige le problème.
AMD note que le problème découle de la non-validation du niveau de privilège d’un utilisateur lors du processus d’installation de Ryzen Master, ce qui « peut permettre à un attaquant disposant de faibles privilèges de modifier des fichiers, ce qui pourrait entraîner une élévation des privilèges et l’exécution de code par l’utilisateur moins privilégié ».
Cela signifie qu’un utilisateur disposant d’un faible niveau de privilèges sur un ordinateur pourrait utiliser une ancienne version de Ryzen Master pour obtenir un accès administrateur et, finalement, un contrôle total du système en modifiant des fichiers système importants. Cependant, il n’est pas clair si un utilisateur sans accès administrateur pourrait utiliser l’ancien utilitaire d’installation pour faciliter une attaque.
AMD Ryzen Master fournit également plusieurs fonctionnalités qui permettent un contrôle précis du système, comme l’accès aux tensions changeantes et aux fréquences d’horloge en temps réel. Il n’est pas clair si ces fonctionnalités, si elles sont accessibles à un utilisateur de bas niveau, pourraient être utilisées pour des attaques de synchronisation d’horloge et de tension dans la même veine que Hertzbleed et Plundervolt. Nous suivons AMD pour plus de précisions.
AMD a corrigé un problème précédent avec Ryzen Master, découvert par HP en 2020 (s’ouvre dans un nouvel onglet), qui permettait également l’élévation des privilèges (CVE-2020-12928). La société a récemment corrigé une erreur qui permettait à ses pilotes de carte graphique d’overclocker automatiquement le processeur sans autorisation, et a également dévoilé 31 vulnérabilités nouvellement découvertes le mois dernier.
AMD recommande de mettre à jour au moins la version 2.10.1.2287 pour mettre le logiciel à jour et corriger la vulnérabilité. La nouvelle version comporte quelques autres améliorations notables par rapport à la version existante, notamment l’ajout de la prise en charge de la définition d’une température de fonctionnement maximale, ce qui ralentirait le processeur une fois qu’il dépasserait une température assignée. Ryzen Master vous permet également désormais d’attribuer une tension supérieure à 5,2 V, ce qui est bien au-delà de la tension de fonctionnement normale (ne le faites que si vous savez ce que vous faites). Naturellement, la plupart des utilisateurs n’auront pas besoin de cette capacité pour les puces existantes, mais elle est utile pour les overclockeurs extrêmes et pourrait être utile avec les futurs modèles. Notamment, toutes les fonctionnalités ne sont pas prises en charge sur les processeurs plus anciens.
La nouvelle vulnérabilité se voit attribuer l’identifiant CVE-2022-27677 et a été publiée dans une divulgation de vulnérabilité coordonnée avec Conor McNamara.