Spectre et Meltdown : deux autres variantes des vulnérabilités matérielles dévoilées !

Depuis Janvier de cette année, Spectre et Meltdown ont fait couler beaucoup d'encres (et de systèmes) et, malheureusement, force est de constater que les deux failles sécuritaires - liées à l'exploitation abusive de l’exécution spéculative - sont encore omniprésentes et les menaces latentes allant avec, via deux nouvelles variantes reprenant les bases d'une attaque par canal auxiliaire (side-channel attack) : l'une située au niveau du registre-système, l'autre basée sur la lecture-mémoire...

 

 

Comme indiqué synthétiquement par la cellule de crise informatique de la sécurité Intérieure des États-Unis (l'US-CERT : United States Computer Emergency Readiness Team), ces deux nouvelles vulnérabilités reprennent le même modus operandi de Spectre et Meltdown mais en attaquant sur des zones autres que sont le registre et la mémoire du système :

 

  • Assignée CVE-2018-3639, la "variante 4" exploite l’exécution spéculative (prédictive) pour permettre à un individu malveillant une élévation de privilèges au niveau de la mémoire, permettant ainsi l'accès aux données du système entier : "un attaquant qui a réussi à exploiter cette vulnérabilité peut être capable de lire des données confidentielles [...] Dans le cas des compilateurs Just-in-Time (JIT), tels que JavaScript JIT employés par les navigateurs Web modernes, il est possible qu'un attaquant fournisse du code JavaScript qui produit du code natif pouvant donner lieu à une instance de CVE-2018- 3639", est-il détaillé dans le bulletin sécuritaire dédié de Microsoft. La firme indique, toutefois, qu'officiellement, aucun "logiciel ou infrastructure cloud" n'a été impacté et que le bug aurait été signalé dès Novembre 2017 "aux partenaires industriels" ;
  • Assignée CVE-2018-3640, la "variante 3a" (découlant de Meltdown : CVE-2017-5754) reprend, de même, les bases de l'exploit lié à l'exécution spéculative mais de manière ciblée puisque l'attaque se centre autour "des lectures spéculatives de registres du système", comme expliqué dans le bulletin de sécurité d'Intel. AMD, pour l'heure, confirme que ses produits (x86) ne sont pas concerné par cette variante ; ce qui n'est pas le cas d'ARM, qui détaille en toute transparence les microprocesseurs affectés par l'ensemble de la famille Spectre-Meltdown : concernant la variante 3a (Cortex-A15, Cortex-A57 et Cortex-A72) ainsi que la variante 4 (Cortex-A57, Cortex-A72 et Cortex-A73 et Cortex-A75).

 

(source : CommitStrip.com)

 

Même son de cloche pour RedHat qui informe ses clients des produits affectés par ces vulnérabilités (variante 4 + variante 1 "originelle" de Spectre) dont le listing est disponible sur le >bulletin de sécurité de l'éditeur Américain< avec, pour chaque produit, l'avancement des mises à jour et le détails des versions.

"Nous avons déjà livré la mise à jour du microcode de la variante 4 sous forme bêta aux fabricants de systèmes OEM et aux fournisseurs de logiciels système, et nous prévoyons qu'elle sera mise à jour dans le BIOS de production et les mises à jour logicielles au cours des prochaines semaines. Ces rustines (ndlr) seront définies par défaut, permettant aux clients de les activer ou non. Nous nous attendons à ce que la plupart des partenaires logiciels privilégient également l'option inactive (ndlr) par défaut. Dans cette configuration, nous n'avons observé aucun impact sur les performances. Si cette option est activée, nous avons observé un impact sur les performances d'environ 2 à 8% en fonction des scores globaux pour les benchmarks tels que SYSmark® 2014 SE et SPEC sur les systèmes de test client1 et server2. Cette même mise à jour inclut également un microcode à destination de la variante 3a (Rogue System Register Read)", selon le communiqué d'Intel, le 21 Mai dernier.

Comme à l'accoutumé, si Intel fournira le microcode précieux, la rustine finale sera effective lorsque les fabricants et éditeurs tiers auront appliqué / diffusé ces firmware. Pour l'heure, Spectre et Meltdown rôdent bien au chaud dans les entrailles de nos terminaux, excepté, en toute logique (gageons-le), les nouveaux terminaux palliant à l'ensemble de la famille Spectre-Meltdown, avec des puces repensées en conséquence (ou pas : cf. Intel qui préfère délaisser le support de certains modèles de puces !).

A noter, également, que la découverte récente (mais avec quelques réserves, pour éviter les détournements malveillants) de 8 failles Spectre-Meltdown laisse, en toute logique, présager encore 6 vulnérabilités à "découvrir" tristement d'ici Août prochain... A suivre !