[ALERTE] Les attaques Meltdown et Spectre divulguées

Suite à la publication des attaques Meltdown et Spectre, le CERT-XMCO vous partage son bulletin d’alerte émis le 4 janvier dans le cadre du service de veille en vulnérabilités.

Ce document définit les vulnérabilités identifiées au sein des processeurs modernes, leurs impacts et leurs exploitabilités.

Description :

L’année dernière, plusieurs vulnérabilités affectant la plupart des microprocesseurs modernes ont été découvertes par des chercheurs travaillant dans plusieurs laboratoires de recherche en sécurité (notamment Google Project Zero, Cyberus Technology, Graz University of Technology…). Ces vulnérabilités sont liées à des techniques employées par les processeurs pour optimiser leurs performances (exécution spéculative et exécution dans le désordre). Ces failles impliquent des correctifs au niveau matériel, mais également au niveau des systèmes d’exploitation (Windows, Linux, Mac OS X). Durant plusieurs mois, les chercheurs ont tenu secrètes ces découvertes et collaborés avec les constructeurs et les développeurs de systèmes d’exploitation pour corriger les vulnérabilités. Récemment, la publication d’un correctif préventif sur le noyau Linux a fait grandir la curiosité de la presse sur le sujet. Ainsi, malgré une date de divulgation prévue initialement pour le 9 janvier par les chercheurs, l’équipe de Google a publié son rapport sur les vulnérabilités le 3 janvier au soir afin de limiter les risques d’exploitation.

Les vulnérabilités ont été découvertes indépendamment par plusieurs chercheurs. Elles possèdent une référence CVE et un nom :

Les vulnérabilités tirent parti de deux mécanismes d’optimisation des processeurs pour permettre à un processus de lire la mémoire en dehors des limites normalement imposées par le système d’exploitation. Ce qui signifie qu’un processus malveillant disposant de privilèges utilisateurs normaux peut être en mesure de lire la mémoire des autres processus, la mémoire du noyau du système d’exploitation, voire l’intégralité de la mémoire physique de la machine. Ce contournement peut permettre de voler notamment des documents confidentiels chargés en mémoire, des clés d’authentification ou des données au sein des gestionnaires de mots de passe. De plus, une machine virtuelle contrôlée par un attaquant est ainsi en mesure de lire la mémoire du système hôte, ainsi que celle de l’ensemble des autres machines virtuelles s’exécutant sur la même machine physique. Plusieurs preuves de concept ont été produites par les chercheurs (C, JavaScript…). Cependant, aucun code d’exploitation réellement fonctionnel n’est actuellement disponible.

Meltdown est théoriquement présente sur tous les processeurs modernes construits depuis 1995 et disposant de la fonctionnalité d’exécution dans le désordre. Son exploitation a été testée et validée sur les processeurs Intel. Cependant, aucune conclusion n’a été apportée vis-à-vis des processeurs AMD et ARM. La fondation Linux a publié un correctif nommé KPTI (Kernel Page Table Isolation) : https://lwn.net/Articles/738975/.
Les correctifs de ces vulnérabilités pourraient diminuer de 5 à 30% les performances des processeurs (voir bulletin CXN-2018-0029).

Spectre tire parti de l’exécution spéculative, une fonctionnalité d’optimisation présente sur quasiment tous les processeurs utilisés aujourd’hui. Son exploitation a été testée et validée sur les processeurs Intel, AMD et ARM. La vulnérabilité est complexe à corriger, car elle est liée à la conception même des processeurs et des systèmes d’exploitation. Des mises à jour sont toutefois en cours de développement pour rendre plus difficilement exploitable cette vulnérabilité.

De plus, les programmes s’exécutant sur les serveurs des fournisseurs de service cloud sont également impactés, dans la mesure où la mémoire d’une machine virtuelle peut être lue par une autre machine virtuelle malveillante s’exécutant sur la même machine hôte. Ainsi, Amazon a publié un bulletin à propos d’AWS (Amazon Web Services) : https://aws.amazon.com/de/security/security-bulletins/AWS-2018-013/.

Des correctifs sont en cours de préparation pour les principaux OS et les principales plateformes logicielles : Linux, Windows, OSX, Citrix, Android, … ainsi que pour des logiciels ou des appliances particulièrement répandus : Chrome, F5, Cisco, ….

Références :

https://meltdownattack.com/
https://meltdownattack.com/meltdown.pdf
https://spectreattack.com/spectre.pdf
https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html

Référence CERT-XMCO :

Adrien Guinault

Découvrir d'autres articles