Vulnérabilités de fuites de mémoire du noyau du micrologiciel et du processeur Intel

PUBLIÉ LE 4 janvier 2018

Aperçu

Intel a récemment publié une série de vulnérabilités qui affectent l’implémentation et la conception de certains de leurs processeurs et firmwares, qui menacent les périphériques jusqu’aux plates-formes de serveurs.

Dans les sections suivantes, il décrit comment ces vulnérabilités affectent les périphériques réseau et l'infrastructure basée sur le serveur dans un centre de données.

Vulnérabilité liée aux microprogrammes Intel

Afin de faire face aux risques de ces vulnérabilités, Intel a publié des recommandations visant à aider les administrateurs système et de sécurité à faire face à ces menaces en fournissant certaines ressources:

Examen de la sécurité Intel-SA-00086
Article de support Intel-SA-00086
Outil de détection Intel-SA-00086

Il est recommandé de lisez les observations ci-dessus et le appliquer les mises à jour du firmware que les différents fournisseurs ont fournis afin de maintenir une infrastructure sécurisée en cas d’attaques futures qui pourraient tirer parti de ces faiblesses.

En ce qui concerne l'impact de ces vulnérabilités sur l'infrastructure réseau d'un centre de données, nous pouvons résumer les prémisses suivantes:

1. Ces vulnérabilités affectent la grande majorité des processeurs Intel et sont susceptibles d'être affectées par l'un d'entre eux.
2. Ces vulnérabilités sont basées sur une menace d'élévation des privilèges et nécessitent donc un accès local au système d'exploitation pour pouvoir exécuter du code arbitraire. Ou du moins, l'accès à distance en tant qu'administrateur est requis pour exploiter ces vulnérabilités.
3. Il sera nécessaire d'appliquer les mises à jour du micrologiciel fournies par les fournisseurs et de désactiver si possible les services: Intel Management Engine (Intel ME), Intel Trusted Execution Engine (Intel TXE), Intel Server Platform Services (SPS) et Intel ATM.
4. Renforcez les accès locaux et distants au système d'exploitation en isolant le réseau de gestion et évitez les privilèges d'accès des utilisateurs ou des processus au système d'exploitation.
5. Il est affecté aux plates-formes virtuelles ou matérielles, aux environnements sur site ou cloud, ou même aux micro-services. Chaque couche doit veiller à la protection de cette menace.

Vulnérabilité liée à la perte de mémoire du noyau ou bogue du processeur Intel

Les processeurs Intel ont été affectés par un bogue de sécurité critique au niveau de la puce qui ne peut pas être corrigé par une mise à jour du microcode, mais au niveau du système d'exploitation et qui affecte tous (Windows, Linux et macOS.

La Fuite de mémoire dans le noyau faire face au problème où chaque programme d’espace utilisateur (bases de données, javascript, navigateurs Web, etc.) pourrait accéder illégalement à certains contenus de la mémoire protégée du noyau, en dépassant les limites de mémoire virtuelle spécifiées dans le système d’exploitation. Le correctif au niveau du système d'exploitation est livré avec la mise en œuvre de la Isolation de table de pages de noyau (KPTI) pour assurer la mémoire du noyau invisible pour les processus de l'utilisateur.

Mais, comme ce monde n'est pas parfait, la sécurité renforcée appliquée par ce patch introduit une grosse pénalité de performance pour les programmes utilisateur d'environ 30%. De plus, le ralentissement dépendra massivement de la charge de travail et de l'utilisation intensive d'E / S entre le noyau et les programmes de l'espace utilisateur. Pour les cas spécifiques de fonctions de mise en réseau dans un centre de données, ce n'est pas si critique que leurs tâches sont claires et ne traitent pas trop de traitement de données bien que des fonctions de couche 7 intensives telles que le déchargement SSL, la commutation de contenu, etc.

Cette vulnérabilité peut être utilisée de manière abusive principalement par des programmes ou des utilisateurs connectés pour lire le contenu des données de la mémoire du noyau. Pour cette raison, les environnements partagés de ressources comme la virtualisation, les micro-services ou les systèmes cloud sont plus susceptibles d'être affectés et abusés.

Jusqu'à ce qu'un correctif définitif au niveau du système d'exploitation soit fourni, les points de prévention que nous avons définis dans la section précédente seront suffisants pour le moment.

AMD a confirmé que ses processeurs ne sont pas affectés par la vulnérabilité et donc par la performance de la pénalité.

Attaques de Meltdown et Spectre

Les attaques de fusion et de spectre font référence aux vulnérabilités de canal latéral trouvées dans plusieurs implémentations matérielles de processeur, qui tirent parti de la possibilité d'extraire des informations à partir d'instructions de processeur exécutées à l'aide du cache du processeur en tant que canal latéral. Actuellement, il existe quelques variantes de ces attaques:

La variante 1 (CVE-2017-5753, Spectre): Contournement de contrôle des limites
La variante 2 (CVE-2017-5715, également Spectre): Injection de branche
La variante 3 (CVE-2017-5754, Meltdown): Chargement du cache de données non fiables, contrôle des autorisations d'accès à la mémoire effectué après la lecture de la mémoire du noyau

Explication technique supplémentaire de ces attaques dans http://www.kb.cert.org/vuls/id/584653.

Impact de la fusion et du spectre sur les équilibreurs de charge de Zevenet

Le risque de ces vulnérabilités dans Zevenet Load Balancer est faible car un attaquant doit avoir un accès local au système d'exploitation et il doit être capable d'exécuter du code malveillant avec les privilèges de l'utilisateur afin d'en tirer parti. Zevenet Enteprise Edition est un appareil spécifique au réseau qui ne permet pas à un utilisateur non administratif local d'exécuter du code tiers, il est donc peu probable que cela se produise et cela pourrait être évité grâce à de bonnes pratiques d'administration.

De plus, les réseaux de gestion de Load Balancers sont généralement privés et, par défaut, il n'y a aucun utilisateur supplémentaire par rapport à un utilisateur administrateur. Le risque est donc faible. D'autre part, les systèmes à locataires multiples tels que les environnements virtuels publics, les plates-formes de conteneurs et les environnements de cloud peuvent être les plus menacés.

Afin de prévenir l'attaque, veuillez suivre les recommandations de sécurité énumérées ci-dessus.

À l'heure actuelle, certains correctifs au niveau du système d'exploitation atténuent complètement ces vulnérabilités, mais ils produisent des effets indésirables sur les performances. Notre équipe de sécurité s'efforce de fournir un correctif définitif afin d'atténuer cette menace de sécurité le plus rapidement possible avec un impact minimal sur vos services de fourniture d'applications.

Des communications supplémentaires seront fournies par le Canaux de soutien officiels.

Partager sur:

Documentation sous les termes de la licence de documentation libre GNU.

Cet article a-t-il été utile?

Articles Relatifs