MISE À JOUR (24 janvier 2018- 08:02 CET) : Intel a émis une déclaration le lundi 22 janvier, confirmant que l’entreprise avait identifié la cause profonde des problèmes de redémarrage affectant ses mises à jour de microcode pour corriger les vulnérabilités Meltdown et Spectre. Intel demande aux clients de suspendre leur application jusqu' à ce que de nouvelles corrections soient disponibles, permettant la résolution des problèmes de redémarrage. Le logiciel d'ESET n'est pas affecté par ces mises à jour de microcodes, et ESET recommande d'utiliser la dernière version de son logiciel grand public ou d'entreprise, quel que soit l'état du processeur ou des correctifs de système d'exploitation pour Meltdown et Spectre. Nous vous recommandons également de vérifier auprès d'Intel pour obtenir des informations à jour sur les nouveaux correctifs, ainsi que des autres fournisseurs touchés.
NOTE : Microsoft a publié l'avis de sécurité 18002 le mercredi 3 janvier 2018 annonçant l'atténuation d'une vulnérabilité majeure à Windows dans les architectures modernes du processeur. ESET a rendu disponible les modules 1533.3 de son antivirus et anti-logiciel malveillant le jour même à tous ses clients, afin de s'assurer que l'utilisation de nos produits n'affecterait pas la compatibilité avec le correctif de Microsoft.
Contexte
Les premiers jours de l'année 2018 ont été marqués par plusieurs discussions angoissantes sur une vulnérabilité généralisée et étendue de l'architecture des processeurs basés sur l'architecture Intel Core utilisée dans les PC depuis de nombreuses années, ainsi que des processeurs AMD. L'étendue de la vulnérabilité est large, affectant tout ce qui va des processeurs ARM couramment utilisés dans les tablettes et les smartphones aux processeurs IBM POWER utilisés dans les supercalculateurs.
Au moment de la rédaction du présent document, tous les détails n'ont pas encore été publiés, mais le problème serait que les programmes exécutés dans l'espace d'adressage en mode utilisateur (la plage « normale » de la mémoire dans laquelle les logiciels d'application, les jeux et autres exécutions similaires) sur un ordinateur peuvent déduire ou observer certaines des informations stockées dans l'espace d'adressage en mode noyau (la plage « protégée » de la mémoire utilisée pour contenir le système d'exploitation, ses pilotes de périphériques et des informations sensibles telles que les mots de passe et les certificats de chiffrement).
Des correctifs visant à empêcher les programmes en mode utilisateur de scruter l'intérieur de la mémoire en mode noyau sont introduits par les fournisseurs de systèmes d'exploitation, les fournisseurs d'hyperviseurs et même les entreprises d’informatique en nuage, mais il semble que la première série de correctifs ralentira dans une certaine mesure les systèmes d'exploitation. L'ampleur exacte du ralentissement est sujette à débat. Intel a déclaré que la pénalité de performance ne sera « pas significative » pour la plupart des utilisateurs, mais le site des amateurs de Linux Phoronix estime les pénalités de performance entre 5% et 30%, selon ce que fait l'ordinateur.
Historique
Un long thread de Reddit intitulé Intel Bug Entrants a suivi la vulnérabilité, dès que des informations à son sujet ont commencé à apparaître le 2 Janvier 2018; Ars Technica et The Register ont également réalisé une excellente couverture.
Le fabricant de processeurs AMD a annoncé qu'ils ne sont pas affectés, selon des rapports sur CNBC et un message à la Linux Kernel Mailing List par un ingénieur AMD, mais les rapports de Google Project Zero et Microsoft indiquent que les processeurs AMD sont affectés. Depuis lors, AMD a publié une déclaration de clarification.
L'article de Microsoft ajoute qu'il ne s'agit pas d'un problème propre à Windows, et qu'il affecte aussi bien Android, Chrome OS, iOS et MacOS. L'avis de Red Hat cite de plus l'architecture POWER d'IBM comme étant vulnérable. Les fabricants d'hyperviseurs VMware et Xen ont publié leurs propres avis, tout comme Amazon Web Services.
Fournisseurs touchés
Voici une liste des fournisseurs concernés et leurs avis et/ou annonces de correctifs respectifs :
| Vendeur | Avis ou annonce |
|---|---|
| Amazon (AWS) | AWS-2018-013: Processor Speculative Execution Research Disclosure |
| AMD | An Update on AMD Processor Security |
| Android (Google) | Android Security Bulletin—January 2018 |
| Apple | HT208331: About the security content of macOS High Sierra 10.13.2, Security Update 2017-002 Sierra, and Security Update 2017-005 El Capitan |
| HT208394: About speculative execution vulnerabilities in ARM-based and Intel CPUs | |
| ARM | Vulnerability of Speculative Processors to Cache Timing Side-Channel Mechanism |
| Azure (Microsoft) | Securing Azure customers from CPU vulnerability |
| Microsoft Cloud Protections Against Speculative Execution Side-Channel Vulnerabilities | |
| Chromium Project | Actions Required to Mitigate Speculative Side-Channel Attack Techniques |
| Cisco | cisco-sa-20180104-cpusidechannel - CPU Side-Channel Information Disclosure Vulnerabilities |
| Citrix | CTX231399: Citrix Security Updates for CVE-2017-5715, CVE-2017-5753, CVE-2017-5754 |
| Debian | Debian Security Advisory DSA-4078-1 linux -- security update |
| Dell | SLN308587 - Microprocessor Side-Channel Attacks (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754): Impact on Dell products |
| SLN308588 - Microprocessor Side-Channel Attacks (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754): Impact on Dell EMC products (Dell Enterprise Servers, Storage and Networking) | |
| F5 Networks | K91229003: Side-channel processor vulnerabilities CVE-2017-5715, CVE-2017-5753, and CVE-2017-5754 |
| FreeBSD | FreeBSD News Flash |
| Google's Project Zero | Reading Privileged Memory with a Side-Channel |
| Huawei | Security Notice - Statement on the Media Disclosure of the Security Vulnerabilities in the Intel CPU Architecture Design |
| IBM | Potential CPU Security Issue |
| Potential Impact on Processors in the POWER Family | |
| Intel | INTEL-SA-00088 Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method |
| Lenovo | Lenovo Security Advisory LEN-18282: Reading Privileged Memory with a Side Channel |
| Microsoft | Security Advisory 180002: Guidance to mitigate speculative execution side-channel vulnerabilities |
| Windows Client guidance for IT Pros to protect against speculative execution side-channel vulnerabilities | |
| Windows Server guidance to protect against speculative execution side-channel vulnerabilities | |
| SQL Server Guidance to protect against speculative execution side-channel vulnerabilities | |
| Important information regarding the Windows security updates released on January 3, 2018 and anti-virus software | |
| Mozilla | Mozilla Foundation Security Advisory 2018-01: Speculative execution side-channel attack ("Spectre") |
| NetApp | NTAP-20180104-0001: Processor Speculated Execution Vulnerabilities in NetApp Products |
| nVidia | Security Notice ID 4609: Speculative Side Channels |
| Security Bulletin 4611: NVIDIA GPU Display Driver Security Updates for Speculative Side Channels | |
| Security Bulletin 4613: NVIDIA Shield TV Security Updates for Speculative Side Channels | |
| Raspberry Pi Foundation | Why Raspberry Pi isn’t vulnerable to Spectre or Meltdown |
| Red Hat | Kernel Side-Channel Attacks – CVE-2017-5754 CVE-2017-5753 CVE-2017-5715 |
| SUSE | SUSE Linux security updates CVE-2017-5715 |
| SUSE Linux security updates CVE-2017-5753 | |
| SUSE Linux security updates CVE-2017-5754 | |
| Synology | Synology-SA-18:01 Meltdown and Spectre Attacks |
| Ubuntu | Ubuntu Updates for the Meltdown / Spectre Vulnerabilities |
| VMware | NEW VMSA VMSA-2018-0002 VMware ESXi, Workstation and Fusion updates address side-channel analysis due to speculative execution |
| Xen | Advisory XSA-254: Information leak via side effects of speculative execution |
Détails techniques
La confusion qui règne quant aux marques de processeurs affectés peut être liée au fait qu'il ne s'agit pas d'une vulnérabilité, mais de deux vulnérabilités similaires, appelées Meltdown et Spectre par leurs découvreurs respectifs. Ces vulnérabilités sont assorties de trois numéros CVE (norme quasi-gouvernementale pour le suivi des vulnérabilités et des expositions en matière de sécurité informatique) :
| Numéro CVE | Description |
|---|---|
| CVE-2017-5715 | Branch Target Injection; exploité par Spectre |
| CVE-2017-5753 | Bounds Check Bypass; exploité par Spectre |
| CVE-2017-5754 | Rogue Data Cache Load; exploité par Meltdown |
Depuis de nombreuses années, les fabricants de processeurs tels qu'Intel ont pu corriger les défauts de l'architecture des processeurs grâce aux mises à jour des microcodes, qui écrivent une mise à jour au processeur lui-même pour corriger un bug. Pour une raison ou des raisons jusqu'à maintenant inattendues, cette vulnérabilité n'est peut-être pas réparable de cette façon dans les processeurs Intel, donc les fabricants de systèmes d'exploitation ont plutôt collaboré avec Intel pour publier des correctifs pour les vulnérabilités.
L'avis de sécurité d'Intel, INTEL-SA-00088 Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method, énumère quarante-quatre (44) familles de processeurs affectés, dont chacun peut contenir des dizaines de modèles. ARM Limited a publié un avis intitulé INTEL-SA-00088 Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method (ou vulnérabilité des processeurs spéculatifs au mécanisme de canal latéral de mise en cache), qui énumère actuellement dix (10) modèles de processeurs affectés.
CERT a émis la note de vulnérabilité suivante : CERT Vulnerability Note VU#584653, CPU hardware vulnerable to side-channel attacks.
L'US-CERT a également publié un avis technique: US-CERT Alert (TA18-000FA): https://www.us-cert.gov/ncas/alerts/TA18-004A
Réponse d’ESET
Comme mentionné au début de l'article, ESET a publié Antivirus and Antispyware module update 1533.3 le mercredi 3 janvier 2018, à tous les clients pour assurer la compatibilité avec les mises à jour de Microsoft aux systèmes d'exploitation Windows. ESET travaille aux côtés des fournisseurs de matériel et de logiciels pour atténuer le risque posé par les vulnérabilités.
Pour plus de détail, lisez les articles suivants :
- ESET Customer Advisory 2018-001: Spectre and Meltdown Vulnerabilities Discovered
- ESET Newsroom: Meltdown & Spectre: How to protect yourself from these CPU security flaws
- ESET Support Alert 6644: ESET can stop malware that in the future may use Spectre and Meltdown vulnerabilities
Nous vous invitons à consulter périodiquement ces articles et revisiter ce billet de blog pour les mises à jour lorsque des informations supplémentaires deviennent disponibles.
Je remercie spécialement mes collègues Tony Anscombe, Richard Baranyi, Shane B., Bruce P. Burrell, Shane Curtis, Nick FitzGerald, David Harley, Elod K., James R., Peter Stancik, Marek Z., et Righard Zwienenberg pour leur soutien à la préparation de cet article.
Historique des révisions
2017-01-05 : Sortie initiale.
2017-01-06 : Publication d’informations complémentaires entourant AMD, Android (Google), Chromium Project, Cisco, Citrix, Debian, Dell, F5 Networks, Huawei, NetApp, nVidia, Raspberry Pi, SUSE, Synology et Ubuntu. Révision des liens qui le requièrent.
2017-01-07 : Historique révisé. Liens ajoutés vers CERT et US-CERT. Ajouté des informations pour FreeBSD. Révision des liens existants au besoin.
