Tout ce que vous devez savoir sur les vulnérabilités Meltdown et Spectre

Tout ce que vous devez savoir sur les vulnérabilités Meltdown et Spectre

Aryeh Gorestsky, chercheur émérite d'ESET, vous dit tout ce que vous devez savoir sur les vulnérabilités Meltdown et Spectre, qui marquent le début de 2018.

Aryeh Gorestsky, chercheur émérite d’ESET, vous dit tout ce que vous devez savoir sur les vulnérabilités Meltdown et Spectre, qui marquent le début de 2018.

 MISE À JOUR (24 janvier 2018- 08:02 CET) : Intel a émis une déclaration le lundi 22 janvier, confirmant que l’entreprise avait identifié la cause profonde des problèmes de redémarrage affectant ses mises à jour de microcode pour corriger les vulnérabilités Meltdown et Spectre. Intel demande aux clients de suspendre leur application jusqu’ à ce que de nouvelles corrections soient disponibles, permettant la résolution des problèmes de redémarrage. Le logiciel d’ESET n’est pas affecté par ces mises à jour de microcodes, et ESET recommande d’utiliser la dernière version de son logiciel grand public ou d’entreprise, quel que soit l’état du processeur ou des correctifs de système d’exploitation pour Meltdown et Spectre. Nous vous recommandons également de vérifier auprès d’Intel pour obtenir des informations à jour sur les nouveaux correctifs, ainsi que des autres fournisseurs touchés.

NOTE : Microsoft a publié l’avis de sécurité 18002 le mercredi 3 janvier 2018 annonçant l’atténuation d’une vulnérabilité majeure à Windows dans les architectures modernes du processeur. ESET a rendu disponible les modules 1533.3 de son antivirus et anti-logiciel malveillant le jour même à tous ses clients, afin de s’assurer que l’utilisation de nos produits n’affecterait pas la compatibilité avec le correctif de Microsoft.

Contexte

Les premiers jours de l’année 2018 ont été marqués par plusieurs discussions angoissantes sur une vulnérabilité généralisée et étendue de l’architecture des processeurs basés sur l’architecture Intel Core utilisée dans les PC depuis de nombreuses années, ainsi que des processeurs AMD.  L’étendue de la vulnérabilité est large, affectant tout ce qui va des processeurs ARM couramment utilisés dans les tablettes et les smartphones aux processeurs IBM POWER utilisés dans les supercalculateurs.

Au moment de la rédaction du présent document, tous les détails n’ont pas encore été publiés, mais le problème serait que les programmes exécutés dans l’espace d’adressage en mode utilisateur (la plage « normale » de la mémoire dans laquelle les logiciels d’application, les jeux et autres exécutions similaires) sur un ordinateur peuvent déduire ou observer certaines des informations stockées dans l’espace d’adressage en mode noyau (la plage « protégée » de la mémoire utilisée pour contenir le système d’exploitation, ses pilotes de périphériques et des informations sensibles telles que les mots de passe et les certificats de chiffrement).

Des correctifs visant à empêcher les programmes en mode utilisateur de scruter l’intérieur de la mémoire en mode noyau sont introduits par les fournisseurs de systèmes d’exploitation, les fournisseurs d’hyperviseurs et même les entreprises d’informatique en nuage, mais il semble que la première série de correctifs ralentira dans une certaine mesure les systèmes d’exploitation.  L’ampleur exacte du ralentissement est sujette à débat.  Intel a déclaré que la pénalité de performance ne sera « pas significative » pour la plupart des utilisateurs, mais le site des amateurs de Linux Phoronix estime les pénalités de performance entre 5% et 30%, selon ce que fait l’ordinateur.

Historique

Un long thread de Reddit intitulé Intel Bug Entrants a suivi la vulnérabilité, dès que des informations à son sujet ont commencé à apparaître le 2 Janvier 2018; Ars Technica et The Register ont également réalisé une excellente couverture.

Le fabricant de processeurs AMD a annoncé qu’ils ne sont pas affectés, selon des rapports sur CNBC et un message à la Linux Kernel Mailing List par un ingénieur AMD, mais les rapports de Google Project Zero et Microsoft indiquent que les processeurs AMD sont affectés.  Depuis lors, AMD a publié une déclaration de clarification.

L’article de Microsoft ajoute qu’il ne s’agit pas d’un problème propre à Windows, et qu’il affecte aussi bien Android, Chrome OS, iOS et MacOS.  L’avis de Red Hat cite de plus l’architecture POWER d’IBM comme étant vulnérable.  Les fabricants d’hyperviseurs VMware et Xen ont publié leurs propres avis, tout comme Amazon Web Services.

Fournisseurs touchés

Voici une liste des fournisseurs concernés et leurs avis et/ou annonces de correctifs respectifs :

VendeurAvis ou annonce
Amazon (AWS)AWS-2018-013: Processor Speculative Execution Research Disclosure
AMDAn Update on AMD Processor Security
Android (Google)Android Security Bulletin—January 2018
AppleHT208331: About the security content of macOS High Sierra 10.13.2, Security Update 2017-002 Sierra, and Security Update 2017-005 El Capitan 
HT208394: About speculative execution vulnerabilities in ARM-based and Intel CPUs
ARMVulnerability of Speculative Processors to Cache Timing Side-Channel Mechanism
Azure (Microsoft)Securing Azure customers from CPU vulnerability
Microsoft Cloud Protections Against Speculative Execution Side-Channel Vulnerabilities
Chromium ProjectActions Required to Mitigate Speculative Side-Channel Attack Techniques
Ciscocisco-sa-20180104-cpusidechannel - CPU Side-Channel Information Disclosure Vulnerabilities
CitrixCTX231399: Citrix Security Updates for CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
DebianDebian Security Advisory DSA-4078-1 linux -- security update
DellSLN308587 - Microprocessor Side-Channel Attacks (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754): Impact on Dell products
SLN308588 - Microprocessor Side-Channel Attacks (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754): Impact on Dell EMC products (Dell Enterprise Servers, Storage and Networking)
F5 NetworksK91229003: Side-channel processor vulnerabilities CVE-2017-5715, CVE-2017-5753, and CVE-2017-5754
FreeBSDFreeBSD News Flash
Google's Project ZeroReading Privileged Memory with a Side-Channel
HuaweiSecurity Notice - Statement on the Media Disclosure of the Security Vulnerabilities in the Intel CPU Architecture Design
IBMPotential CPU Security Issue
Potential Impact on Processors in the POWER Family
IntelINTEL-SA-00088 Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method
LenovoLenovo Security Advisory LEN-18282: Reading Privileged Memory with a Side Channel
MicrosoftSecurity Advisory 180002: Guidance to mitigate speculative execution side-channel vulnerabilities
Windows Client guidance for IT Pros to protect against speculative execution side-channel vulnerabilities
Windows Server guidance to protect against speculative execution side-channel vulnerabilities
SQL Server Guidance to protect against speculative execution side-channel vulnerabilities
Important information regarding the Windows security updates released on January 3, 2018 and anti-virus software
MozillaMozilla Foundation Security Advisory 2018-01: Speculative execution side-channel attack ("Spectre")
NetAppNTAP-20180104-0001: Processor Speculated Execution Vulnerabilities in NetApp Products
nVidiaSecurity Notice ID 4609: Speculative Side Channels
Security Bulletin 4611: NVIDIA GPU Display Driver Security Updates for Speculative Side Channels
Security Bulletin 4613: NVIDIA Shield TV Security Updates for Speculative Side Channels
Raspberry Pi FoundationWhy Raspberry Pi isn’t vulnerable to Spectre or Meltdown
Red HatKernel Side-Channel Attacks – CVE-2017-5754 CVE-2017-5753 CVE-2017-5715
SUSESUSE Linux security updates CVE-2017-5715
SUSE Linux security updates CVE-2017-5753
SUSE Linux security updates CVE-2017-5754
SynologySynology-SA-18:01 Meltdown and Spectre Attacks
UbuntuUbuntu Updates for the Meltdown / Spectre Vulnerabilities
VMwareNEW VMSA VMSA-2018-0002 VMware ESXi, Workstation and Fusion updates address side-channel analysis due to speculative execution
XenAdvisory XSA-254: Information leak via side effects of speculative execution

Détails techniques

La confusion qui règne quant aux marques de processeurs affectés peut être liée au fait qu’il ne s’agit pas d’une vulnérabilité, mais de deux vulnérabilités similaires, appelées Meltdown et Spectre par leurs découvreurs respectifs.  Ces vulnérabilités sont assorties de trois numéros CVE (norme quasi-gouvernementale pour le suivi des vulnérabilités et des expositions en matière de sécurité informatique) :

Numéro CVEDescription
CVE-2017-5715Branch Target Injection; exploité par Spectre
CVE-2017-5753Bounds Check Bypass; exploité par Spectre
CVE-2017-5754Rogue Data Cache Load; exploité par Meltdown

Depuis de nombreuses années, les fabricants de processeurs tels qu’Intel ont pu corriger les défauts de l’architecture des processeurs grâce aux mises à jour des microcodes, qui écrivent une mise à jour au processeur lui-même pour corriger un bug.  Pour une raison ou des raisons jusqu’à maintenant inattendues, cette vulnérabilité n’est peut-être pas réparable de cette façon dans les processeurs Intel, donc les fabricants de systèmes d’exploitation ont plutôt collaboré avec Intel pour publier des correctifs pour les vulnérabilités.

L’avis de sécurité d’Intel, INTEL-SA-00088 Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method, énumère quarante-quatre (44) familles de processeurs affectés, dont chacun peut contenir des dizaines de modèles.  ARM Limited a publié un avis intitulé INTEL-SA-00088 Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method (ou vulnérabilité des processeurs spéculatifs au mécanisme de canal latéral de mise en cache), qui énumère actuellement dix (10) modèles de processeurs affectés.

CERT a émis la note de vulnérabilité suivante : CERT Vulnerability Note VU#584653, CPU hardware vulnerable to side-channel attacks.

L’US-CERT a également publié un avis technique: US-CERT Alert (TA18-000FA): https://www.us-cert.gov/ncas/alerts/TA18-004A

Réponse d’ESET

Comme mentionné au début de l’article, ESET a publié Antivirus and Antispyware module update 1533.3 le mercredi 3 janvier 2018, à tous les clients pour assurer la compatibilité avec les mises à jour de Microsoft aux systèmes d’exploitation Windows.  ESET travaille aux côtés des fournisseurs de matériel et de logiciels pour atténuer le risque posé par les vulnérabilités.

Pour plus de détail, lisez les articles suivants :

Nous vous invitons à consulter périodiquement ces articles et revisiter ce billet de blog pour les mises à jour lorsque des informations supplémentaires deviennent disponibles.

Je remercie spécialement mes collègues Tony Anscombe, Richard Baranyi, Shane B., Bruce P. Burrell, Shane Curtis, Nick FitzGerald, David Harley, Elod K., James R., Peter Stancik, Marek Z., et Righard Zwienenberg pour leur soutien à la préparation de cet article.

Historique des révisions

2017-01-05 : Sortie initiale.
2017-01-06 : Publication d’informations complémentaires entourant AMD, Android (Google), Chromium Project, Cisco, Citrix, Debian, Dell, F5 Networks, Huawei, NetApp, nVidia, Raspberry Pi, SUSE, Synology et Ubuntu. Révision des liens qui le requièrent.
2017-01-07 : Historique révisé. Liens ajoutés vers CERT et US-CERT. Ajouté des informations pour FreeBSD. Révision des liens existants au besoin.

Discussion