Une surface d’attaque très très large contre des machines sous Intel et AMD
Une erreur de compréhension du manuel du développeur de logiciel du processeur Intel fait que quasiment tous les systèmes d’exploitation ou de virtualisation ont un comportement inattendu. C’est aussi valable sur AMD, où pire elle permet d’exécuter du code.
Le système d’exploitation pense que son action est continue entre deux instructions du processeur, mais en réalité il peut être interrompu. Sur Intel cela permet d’escalader les privilèges dans Windows et MacOS. Dans certaines configuration de Xen et de FreeBSD, Linux plante. La surface d’attaque est donc très très large. ZATAZ a posé quelques questions à ce sujet à Hervé Schauer, spécialiste des questions de cybersécurité en entreprise.
Quels sont les risques pour les entreprises ?
Les risques sont la compromission de leur applications et le vol de leur données, y compris certains environnements virtualisés d’une machine virtuelle à une autre, et ce quelque soit leur système d’exploitation. Le problème est une mauvaise interprétation du fonctionnement des jeux d’instructions des microprocesseurs Intel et AMD quand le mode débogage est actif. Dans ce mode, des programmes que les programmeurs pensent atomiques, c’est-à-dire ininterruptibles, le sont.
Cela permet de gagner les privilèges maximum quel que soit le système d’exploitation, de manière directe sur AMD, un peut moins directe sur Intel. Le mode de déclenchement et le code permettant de programmer des exploitations du problème est disponible dans le papier des experts ayant découvert le problème [1], donc de très nombreux informaticiens peuvent développer un code d’exploitation en quelques heures et prendre le contrôle de serveurs et des données auxquelles ils peuvent avoir accès comme simples utilisateurs.
Le danger sort de l’ordinaire. La surface d’attaque est très large, Windows, MacOSX, Linux, Xen, etc concernés. Et une fois de plus, si AMD et Intel peuvent dire que c’est une mauvaise interprétation du fonctionnement de leurs processeurs, nous avons à nouveau comme avec Meltdown et Spectre un problème qui ne pourra être globalement corrigé qu’avec un changement de comportement des microprocesseurs.
Pour les particuliers ?
Si le système d’exploitation du particulier s’est mis à jour il n’y a pas de conséquences sinon il faut appliquer les correctifs de sécurité, afin qu’un logiciel malfaisant qui s’exécuterait sur le PC du particulier ne puisse ainsi aussi facilement avoir tous les privilèges, un rançongiciel avec des privilèges d’administrateur pourra s’attaquer à tout comme le secteur d’amorçage. Ce sont les opérateurs de Cloud, les hébergeurs et les entreprises qui
doivent en priorité mettre à jour leurs infrastructures.
Ca se corrige comment ?
La majorité des éditeurs proposent des correctifs. Des entreprises prévenues bien avant du problème. Il faut donc de les appliquer. Le CVE est CVE-2018-8897. Le 9 mai le CERT-FR a publiés plusieurs avis liés à la correction de cette vulnérabilité :
Xen : https://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-229/
Linux Ubuntu : https://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-226/
Pour Windows : https://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-221/
Conseils pour les utilisateurs ?
Ne pas attendre que des attaquants exploitent activement sur internet pour corriger, comme lors des dernières vulnérabilités Cisco. Beaucoup on attendus que les failles s’exploitent massivement pour mettre à jour leur routeurs… Et rien ne remplacera une sauvegarde hors-ligne, sur un support amovible. Un disque externe chiffré reste le meilleur moyen de faire une sauvegarde.