Processeur central (CPU) Defauts de conception architecturale_update 9/1

CERT.be Avis

Reference: CERT.be Avis #2018-001
Version: 2.0
Systèmes impactés: [CPUs (Intel, AMD, Qualcomm), architectures: x86, x86_64, ARM]
Type: [CPU vulnérable aux attaques à canal lateral (side-channel attack)]

Description

Deux nouvelles attaques basées sur les canaux latéraux (side-channel attack), baptisées Meltdown et Spectre, affectent les principales architectures CPU. Bien que le Spectre affecte les trois principaux fabricants de puces (Intel, AMD et ARM), AMD affirme que leurs processeurs ne sont pas impactés par Meltdown.

Pour atteindre de hautes performances, les processeurs modernes mettent en œuvre plusieurs techniques d'optimisation telles que l'exécution “out-of order” (utilisée dans Meltdown) ou la prédiction de branche (utilisée dans Spectre). Ces mécanismes ont des effets secondaires qui peuvent être exploités par les attaquants pour:
• Lire la mémoire du noyau normalement non-accessible depuis le mode utilisateur (Meltdown)
• accéder aux informations sur les autres processus, y compris au système d'exploitation hôte d'une machine virtuelle (Spectre).

Le problème vient des choix de conception matérielle, et toute solution devra se situer au niveau du système d'exploitation.
Systèmes impactés par Meltdown:
- Les chercheurs ont réussi à exploiter les processeurs Intel. L’impact sur d'autres processeurs est actuellement inconnu ; rapport original n'écarte pas cette possibilité.
- Les ordinateurs de bureau, les ordinateurs portables et les appareils portables équipés de CPU Intel sont tous concernés.

Systèmes impactés par Spectre
- La plupart des appareils utilisant des processeurs Intel, AMD ou ARM A75 sont concernés.

Risques

Pour les deux vulnérabilités, l'exploitation peut donner accès à des pages de mémoire non autorisées (niveau utilisateur et noyau).
Pour les deux vulnérabilités, les systèmes les plus exposés sont les fournisseurs de cloud computing car ils présentent une surface d'attaque plus importante. Le risque pour le grand public est beaucoup plus faible.

Les chercheurs de la vulnérabilité de Spectre ont pu l'exploiter en utilisant du code Javascript. Ceci rend possible l'exploitation de Spectre au travers des navigateurs web.
Certains systèmes peuvent être vulnérables aux deux.

Résumé

Actuellement, les chercheurs ont identifié trois vulnérabilités :
CVE-2017-5715
CVE-2017-5753
CVE-2017-5754

Appareils impactés :
• Serveurs
• Postes de travail
• Ordinateurs portables
• Smartphones
• Tablettes
• Smart TVs
• Appareils IoT
• Tout autre appareil contenant les processeurs en question

Recommandations

Mettez vos systèmes a jour dès que possible.

Informations et mise à jours spécifiques aux différents fabriquants:
Amazon: https://aws.amazon.com/security/security-bulletins/AWS-2018-013/
AMD: https://www.amd.com/en/corporate/speculative-execution
Android: https://source.android.com/security/bulletin/2018-01-01
Apple: https://support.apple.com/en-us/HT208394
ARM: https://developer.arm.com/support/security-update
CentOS: https://lists.centos.org/pipermail/centos-announce/2018-January/date.html
Debian: https://security-tracker.debian.org/tracker/CVE-2017-5754
Fedora Project: https://fedoramagazine.org/protect-fedora-system-meltdown/
Intel: https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&l...
Azure: https://azure.microsoft.com/en-us/blog/securing-azure-customers-from-cpu...
Microsoft: https://portal.msrc.microsoft.com/en-US/eula
Mozilla: https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-cla...
Open SUSE: https://lists.opensuse.org/opensuse-security-announce/2018-01/msg00001.html
Qubes: https://www.qubes-os.org/news/2018/01/04/xsa-254-meltdown-spectre/
Red hat: https://access.redhat.com/security/security-updates/#/security-advisorie...
SUSE: http://lists.suse.com/pipermail/sle-security-updates/2018-January/date.html
VMware: https://www.vmware.com/security/advisories/VMSA-2018-0002.html
Xen: http://xenbits.xen.org/xsa/advisory-254.html

Références

https://www.us-cert.gov/ncas/alerts/TA18-004A
https://meltdownattack.com/
https://spectreattack.com/
https://newsroom.intel.com/news/intel-responds-to-security-research-find...
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV18...
https://exchange.xforce.ibmcloud.com/collection/c422fb7c4f08a679812cf119...
https://www.helpnetsecurity.com/2018/01/03/patches-security-flaw-intel-p...
https://support.microsoft.com/en-us/help/4073119/windows-client-guidance...
https://blog.qualys.com/securitylabs/2018/01/03/processor-vulnerabilitie...