Serveur d'impression

Intel Flaw permet aux pirates de siphonner les secrets de millions de PC – Bien choisir son serveur d impression

Le 17 juin 2019 - 14 minutes de lecture

Plus qu'un L’année écoulée depuis que les chercheurs en sécurité ont révélé Meltdown et Specter, une paire de failles dans les fonctions profondes et mystérieuses de millions de puces vendues par Intel et AMD, mettant en péril pratiquement tous les ordinateurs du monde. Mais même si les fabricants de puces cherchaient à résoudre ces problèmes, les chercheurs ont averti qu'ils n'étaient pas la fin de l'histoire, mais le début – qu'ils représentaient un nouveau classe de la vulnérabilité de la sécurité qui serait sans aucun doute surface encore et encore. Maintenant, certains de ces mêmes chercheurs ont découvert une autre faille dans les entrailles les plus profondes du matériel microscopique d’Intel. Cette fois, il peut permettre aux attaquants d’écouter pratiquement chaque bit de données brutes que le processeur d’une victime touche.

Aujourd'hui, Intel et un super-groupe coordonné de chercheurs en sécurité de la microarchitecture annoncent une nouvelle forme sérieuse de vulnérabilité piratable dans les puces d'Intel. En fait, il s’agit de quatre attaques distinctes, bien qu’elles utilisent toutes une technique similaire et qu’elles sont toutes capables de siphonner un flux de données potentiellement sensibles du processeur d’un ordinateur à un attaquant.

Attaques MDS

Les chercheurs sont issus de l’université autrichienne TU Graz, de la Vrije Universiteit Amsterdam, de l’Université du Michigan, de l’Université d’Adélaïde, de la KU Leuven en Belgique, de l’Institut polytechnique de Worcester, de l’Université de la Sarre en Allemagne et des sociétés de sécurité Cyberus, BitDefender, Qihoo360 et Oracle. Les groupes ont nommé des variantes des techniques d'exploitation ZombieLoad, Fallout et RIDL ou Rogue In-Flight Data Load. Intel lui-même a mieux qualifié le nouvel ensemble d'attaques Microarchitect Data Data Sampling, ou MDS.

Intel avait demandé à tous les chercheurs, divisés en deux groupes indépendants, de garder leurs découvertes secrètes, certaines pendant plus d’un an, jusqu’à ce qu’il soit possible de résoudre les problèmes liés aux vulnérabilités. Dans le même temps, la société a cherché à minimiser la gravité des bogues, selon les chercheurs, qui avertissent que les attaques représentent une faille sérieuse dans le matériel d'Intel pouvant nécessiter la désactivation de certaines de ses fonctionnalités, même au-delà du correctif de la société. Les puces AMD et ARM ne semblent pas vulnérables aux attaques, et Intel indique que certains modèles de puces commercialisés le mois dernier incluent une solution au problème. Sinon, toutes les puces Intel testées par les chercheurs dès 2008 étaient affectées. Vous pouvez tester si votre système est affecté avec un outil publié ici par les chercheurs.

Comme Meltdown et Specter, la nouvelle attaque MDS tire parti des failles de sécurité inhérentes à l'exécution spéculative des puces Intel, fonction dans laquelle un processeur détermine à l'avance les opérations et les données qu'il lui sera demandé d'exécuter, afin d'accélérer le traitement. la performance de la puce.

"Nous buvons au pot à feu. Si vous êtes malin et que vous traitez le contenu avec soin, vous ne vous noierez pas."

Herbort Bos, VUSec

Dans ces nouveaux cas, les chercheurs ont découvert qu'ils pouvaient utiliser une exécution spéculative pour amener les processeurs d'Intel à saisir des données sensibles se déplaçant d'un composant d'une puce à une autre. Contrairement à Meltdown, qui utilise une exécution spéculative pour saisir des données sensibles conservées en mémoire, les attaques MDS se concentrent sur les tampons situés entre les composants d'une puce, par exemple entre un processeur et son cache, la petite partie de la mémoire allouée au processeur pour y conserver un accès fréquent. les données à portée de main.

"C’est un peu comme si nous traitions le processeur comme un réseau de composants, et nous surveillons le trafic entre eux," déclare Cristiano Giuffrida, l’un des chercheurs du groupe VUSec de la Vrije Universiteit Amsterdam qui a découvert l’attaque MDS. "Nous entendons tout ce que ces composants échangent."

Cela signifie que tout attaquant pouvant exécuter un programme sur une puce cible, qu'il s'agisse d'une application malveillante, d'une machine virtuelle hébergée sur le même serveur cloud que la cible, ou même d'un site Web non autorisé exécutant Javascript dans le navigateur de la cible, pourrait tromper le processeur à révéler les données qui doivent être protégées contre le code non fiable exécuté sur cette machine. Ces données peuvent inclure des informations telles que le site Web sur lequel l'utilisateur navigue, leurs mots de passe ou les clés secrètes permettant de déchiffrer leur disque dur crypté.

"En substance, [MDS] met un verre au mur qui sépare les domaines de sécurité, permettant aux attaquants d’écouter le bafouillage des composants de la CPU ", lit-on sur une ligne d’un article de VUSec sur les failles, qui sera présenté la semaine prochaine au Symposium IEEE sur la sécurité et la confidentialité.

"Facile à faire et potentiellement dévastateur"

Les quatre variantes d'attaque MDS différentes profitent toutes d'une bizarrerie dans la façon dont les puces Intel réalisent leur astuce pour gagner du temps. Lors d'une exécution spéculative, une CPU suit fréquemment une branche de commandes en code avant qu'un programme ne la lui demande ou ne devine les données que le programme demande, afin d'obtenir une longueur d'avance. Pensez à cette proposition comme à un serveur paresseux offrant un verre au hasard sur son plateau, dans l’espoir de s’épargner un voyage au bar. Si le processeur ne le sait pas correctement, il le rejette immédiatement. (Dans des conditions différentes, la puce peut récupérer des données dans trois mémoires tampons différentes, d'où les multiples attaques des chercheurs.)

Les concepteurs de puces d’Intel ont peut-être pensé qu’une hypothèse erronée, même celle qui contient des données sensibles, n’était pas grave. "Il jette ces résultats de côté", déclare Guiffrida de VUSec. "Mais nous avons toujours cette fenêtre de vulnérabilité que nous utilisons pour divulguer les informations."

Tout comme avec Meltdown et Specter, le code de l'attaquant peut laisser fuir les données que le processeur a extraites de la mémoire tampon via le cache du processeur. Tout ce processus vole au plus quelques octets de données arbitraires dans l'un des tampons de la CPU. Mais répétez-le des millions de fois de suite et un attaquant peut commencer à diffuser des flux de toutes les données auxquelles le processeur accède en temps réel. Avec certaines autres astuces, un attaquant disposant de peu de privilèges peut faire des requêtes persuadant un processeur d’extraire des données sensibles telles que des clés secrètes et des mots de passe dans ses mémoires tampons, où elles sont ensuite aspirées par l’attaque MDS. Ces attaques peuvent prendre entre quelques millisecondes et heures, en fonction des données cibles et de l'activité du processeur. "C’est facile à faire et potentiellement dévastateur", a déclaré Herbort Bos, chercheur chez VUSec.

VUSec

VUSec, par exemple, a créé une preuve de concept, illustrée ci-dessus, capable d'extraire des mots de passe hachés, des chaînes de mots de passe cryptés qui peuvent souvent être déchiffrés par des pirates, à partir du composant d'une puce cible appelé tampon de remplissage de ligne. La vidéo ci-dessous de TU Graz montre une démonstration simple dans laquelle un programme non fiable sur l'ordinateur peut déterminer quels sites Web une personne visite.

Un combat pour la solution

Dans un appel avec WIRED, Intel a déclaré que ses propres chercheurs avaient été les premiers à découvrir les vulnérabilités de MDS l’année dernière et qu’ils avaient publié des correctifs pour la faille du matériel et des logiciels. Un correctif logiciel pour l'attaque efface toutes les données des mémoires tampons chaque fois que le processeur franchit une limite de sécurité, de sorte qu'il ne puisse pas être volé et fuit. Intel affirme que le correctif aura des coûts de performance "relativement minimes" dans la plupart des cas, bien que, pour quelques instances de centres de données, il puisse ralentir ses puces de 8 à 9%. Pour prendre effet, le correctif devra être mis en œuvre par chaque système d'exploitation, fournisseur de virtualisation et autres fabricants de logiciels. Apple déclare avoir publié un correctif dans le cadre d'une récente mise à jour de Mojave et Safari. Google affirme avoir également implémenté des mises à jour pour ses produits concernés, tout comme Amazon. Mozilla a annoncé qu'un correctif serait bientôt disponible et un porte-parole de Microsoft a annoncé qu'il publierait aujourd'hui des mises à jour de sécurité pour résoudre le problème. "Nous sommes conscients de ce problème qui touche l'ensemble du secteur et travaillons en étroite collaboration avec les fabricants de puces concernés pour mettre au point et tester des solutions permettant de protéger nos clients", indique le communiqué. "Nous travaillons au déploiement de solutions d'atténuation aux services cloud et à la publication de mises à jour de sécurité pour protéger les clients Windows contre les vulnérabilités affectant les puces matérielles prises en charge." VMware n'a pas immédiatement répondu à une demande concernant l'état de leur correctif.

Un correctif matériel plus permanent, déjà inclus dans certaines puces publiées par Intel le mois dernier, résout le problème plus directement, empêchant le processeur de récupérer les données hors de la mémoire tampon lors d'une exécution spéculative. "Pour les autres produits concernés, des mises à jour du microcode, associées aux mises à jour correspondantes du système d'exploitation et du logiciel d'hyperviseur, sont disponibles à partir d'aujourd'hui", indique un porte-parole d'Intel.

"Nous nous attendions toujours à ce que cela nous occupe pendant des années."

Daniel Gruss, TU Graz

Dans l’intervalle, toutefois, les chercheurs et Intel ne sont pas d’accord sur la gravité du problème et sur la manière de le trier. TU Graz et VUSec recommandent aux fabricants de logiciels de désactiver l’hyperthreading, une fonctionnalité des puces Intel qui accélère leur traitement en permettant d’exécuter davantage de tâches en parallèle, tout en facilitant considérablement la réalisation de certaines variantes des attaques MDS. Dans un appel téléphonique avec WIRED, Intel a insisté sur le fait que les failles ne justifiaient pas la désactivation de cette fonctionnalité, ce qui aurait un coût sérieux en termes de performances pour les utilisateurs. En fait, la société a évalué les quatre vulnérabilités à un niveau de gravité «faible à moyen», une évaluation que les chercheurs de TU Graz et de VUSec ont contestée.

Les ingénieurs d'Intel affirment, par exemple, que si les vulnérabilités de MDS peuvent laisser des secrets, elles génèrent également une quantité énorme de bruit provenant des opérations de l'ordinateur. Mais les chercheurs en sécurité ont découvert qu'ils pouvaient puiser de manière fiable dans cette sortie brute pour trouver les informations précieuses qu'ils recherchaient. Pour faciliter ce filtrage, ils ont montré qu'un attaquant pouvait duper le processeur en lui faisant fuir le même secret à plusieurs reprises, en aidant à le distinguer du bruit ambiant.

"Si nous nous attaquons au chiffrement de disque dur, nous n'attaquerons que dans un court laps de temps lorsque la clé sera chargée dans la mémoire. Nous avons donc une grande chance d'obtenir la clé et d'autres données", déclare Michael Schwarz, l'un des TU. Les chercheurs de Graz qui ont travaillé à la fois sur les nouvelles attaques MDS et sur les découvertes antérieures de Spectre et Meltdown. "Certaines données seront toujours les mêmes et d’autres changeront. Nous voyons ce qui se produit le plus souvent. C’est les données qui nous intéressent. Ce sont des statistiques de base."

Ou, comme le dit le Bos de VUSec, "Nous buvons à la lance à incendie. Si vous êtes malin et que vous traitez le contenu avec soin, vous ne vous noierez pas et vous obtiendrez tout ce dont vous avez besoin."

Minimiser la gravité

Les chercheurs avancent que tout cela jette un doute sur le degré de gravité d’Intel pour les attaques par MDS. Les chercheurs de TU Graz, dont trois ont travaillé sur les attaques Spectre et Meltdown, évaluent les attaques MDS entre ces deux vulnérabilités antérieures, moins graves que Meltdown mais pires que Spectre. (Ils soulignent qu'Intel a évalué Specter et Meltdown à une gravité moyenne également, un jugement avec lequel ils étaient en désaccord à l'époque.)

Giuffrida de VUSec note que Intel a payé 100 000 dollars à son équipe pour son travail dans le cadre du programme "Bug Bounty" de la société, qui récompense les chercheurs qui avertissent la société des failles critiques. C'est à peine le genre d'argent versé pour des problèmes insignifiants, fait-il remarquer. Mais il a également déclaré qu’à un moment donné, Intel n’offrait à VUSec qu’une prime au bogue de 40 000 USD, accompagnée d’un «cadeau» de 80 000 USD – ce que Giuffrida considérait comme une tentative de réduction du montant de la prime cité publiquement et donc de la gravité perçue des défauts du MDS. VUSec a refusé l'offre d'une somme plus importante en faveur d'une prime reflétant mieux la sévérité de ses conclusions et a menacé de se soustraire à une prime de bug en signe de protestation. Intel a modifié son offre à 100 000 $.

"C’est clair ce que fait Intel", déclare Giufrrida. "C’est dans leur intérêt de dire:" Non, après Spectre et Meltdown, nous n’avons pas négligé d’autres vulnérabilités; c’est simplement qu’elles étaient si mineures qu’elles ont filé. "Dans un appel avec WIRED, Intel a nié avoir tenté de manipuler le taille perçue de la prime.

Il peut sembler étrange que tant de chercheurs aient trouvé les failles de MDS dans le même laps de temps – au moins deux équipes indépendantes de sept organisations et Intel lui-même – les chercheurs de TU Graz disent qu'il faut s'y attendre: La découverte de Specter et Meltdown a ouvert une nouvelle surface d’attaque extrêmement complexe et inexplorée pour les pirates informatiques, une surface susceptible de générer des failles de sécurité sérieuses et fondamentales du matériel dans le futur.

"Il y a encore plus de composants, et beaucoup d'entre eux ne sont pas du tout documentés, il n'est donc pas improbable que cela continue pendant un moment", déclare Moritz Lipp de TU Graz. Son collègue de recherche, Daniel Gruss, a ajouté: "Nous nous attendions toujours à ce que cela nous occupe pendant des années". En d'autres termes, ne soyez pas surpris si davantage de trous cachés se trouvent dans le cœur du processeur de votre ordinateur pour les années à venir.

Mis à jour le 14/05/19 5:30 EST avec plus d'informations sur les mises à jour de sécurité des entreprises concernées.


Plus de grandes histoires câblées

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.