Archives de catégorie : Actualités

Cette catégorie un peu à part regroupe quelques points d’actualités ayant attiré mon attention ou sur lesquels j’ai dû me creuser un peu les méninges, dans le cadre professionnel.

Sources d’information

Voici mes différentes sources d’information, en ce qui concerne l’actualité.

Dans le registre des newsletters :

Côté sites d’informations informatiques, ayant souvent de bons articles sur la SSI :

Côté blogs, voici :

Chaînes d’infos, webinars, etc. :

Pour ce qui est des sources de formation, voici ce que j’ai en stock :

D’autres bons sites, payants :

  • PluralSight ;

Pour tout casser (et expérimenter des techniques d’attaque) :

De nombreux éditeurs et fournisseurs ont des rubriques sécurité (Microsoft, Intel, AWS…)

Les éditeurs de solutions de sécurité ont aussi souvent des pages intéressantes (base des virus, études, livres blancs, etc.)

Intel, des failles (ter)

Non, il ne faut pas croire que cela m’amuse de recenser les failles matérielles sur les processeurs (Intel ou autre). Au contraire : cela m’inquiète au plus haut point, sans m’étonner outre mesure, car la complexité des processeurs est devenue telle qu’il devient quasi-impossible de maîtriser l’ensemble de sa conception. En sécurité informatique, plus c’est complexe, plus c’est dur à sécuriser.

Nouvelle faille : Foreshadow

Traduisons ce qu’on trouve sur le site dédié (rappel : un site dédié avec un joli nom de faille et un beau logo sont les minimum syndicaux pour toute faille qui se vend respecte).

Foreshadow is a speculative execution attack on Intel processors which allows an attacker to steal sensitive information stored inside personal computers or third party clouds. Foreshadow has two versions, the original attack designed to extract data from SGX enclaves and a Next-Generation version which affects Virtual Machines (VMs), hypervisors (VMM), operating system (OS) kernel memory, and System Management Mode (SMM) memory.

Foreshadow est une attaque de type exécution spéculative (comme Spectre et Meltdown) touchant les processeurs Intel (les pauvres !) permettant à un attaquant de dérober des informations sensibles stockés sur des ordinateurs personnels ou dans le cloud (il est écrit third party, mais en vérité cela touche toute infrastructure, interne ou externe, cloud ou pas, qui compte sur un [[Évasion de machine virtuelle|hyperviseur]] de virtualisation pour isoler des environnements et des machines, cf juste en dessous).

Foreshadow a deux versions : l’attaque originale, conçue pour extraire des données des enclaves SGX (censées justement éviter cela…) et une nouvelle génération « NG » (de l’attaque) qui affecte les machines virtuelles, les hyperviseurs VMM (Virtual Machine Manager, hyperviseur utilisé dans le cloud Azure), la mémoire du noyau du système d’exploitation et la mémoire utilisée par le mode « management de système » (SMM).

Encore du Meltdown ?

Foreshadow est une variante de Meltdown1, de type exécution spéculative, dont la source a fini par être identifiée par Intel dans le cache L1 (L1TF, L1 Terminal Fault). Hélas, une fois ce constat réalisé, Intel a remarqué que cela avait d’autres conséquences2, d’où la création de deux variantes appelées « NG ».

Composants impactés

Virtual Machines Manager

Les bulletins ne sont pas très clairs sur ce point, car ils parlent de VMM sans trop de précision. D’après ce qu’en dit OVH3, les failles touchent bien les hyperviseurs en général, et non uniquement le VMM d’Azure.

Système d’exploitation

Idem pour l’OS, quasiment jamais mentionné dans les publications. Toutefois Linux est bel est bien touché lui aussi, cf les publications des différents éditeurs. Il n’y a pas que Windows…

System Management Mode

Il s’agit d’un mode spécial d’exécution du processeur, dont les caractéristiques sont :

  • Se situe dans une mémoire spéciale et séparée (SMRAM) ;
  • Peut accéder à l’ensemble du système et des entres/sorties, y compris la mémoire de l’OS et d’un hyperviseur ;
  • Est appelé par une interruption spécifique (SMI, System Management Interrupt) ;
  • Possède un gestionnaire logiciel (SMI handler) pour exécuter des opérations basées sur différentes SMI.

C’est un peu technique mais en gros ça signifie qu’il s’agit d’un mode qui a accès à tout, et qu’on l’imagine réservé pour un usage spécifique et bien délimité.

SGX

SGX est une enclave sécurisée, présente dans certains processeurs Intel, et conçue pour que personne ne puisse venir y lire le contenu : cela permet de cacher des informations très sensibles, comme des clés de chiffrements, dans une infrastructure tierce.

Conditions d’exploitation

Maigre consolation : la faille se situe au niveau core, c’est-à-dire qu’un processus ne peut utiliser cette vulnérabilité que contre un autre processus s’exécutant sur le même cœur du processeur4. Cela concerne les processeurs récents (ce qui est le cas de tous les processeurs SGX), de génération Sandy Bridge ou suivantes, car Intel assigne un cache L1 dédié pour chaque cœur5.

Logiquement, avec un processeur 4 cœurs, il n’y a qu’une chance sur 4 de subir l’attaque, et il est peu probable (impossible ?) pour un processus, qui plus est lancé dans une machine virtuelle, de choisir le processeur sur lequel il s’exécute.

Multiplié par le nombre de cœurs et de machines virtuelles, la probabilité baisse encore, surtout que la difficulté sera surtout de réussir à exécuter le programme d’attaque sur le même cœur de processeur que la cible. Après, une machine virtuelle peut demander à s’exécuter sur plusieurs processeurs virtuels, donc sur plusieurs cores, mais ça se paye. Et dans un environnement mutualisant des milliers de processeurs, ça peut devenir coûteux.

Correctifs

On peut renforcer l’isolation par les mesures suivantes :

  • En s’assurant qu’un core n’est pas partagé entre plusieurs machines virtuelles en même temps ;
  • Lorsque deux machines se suivent séquentiellement sur un core, alors on s’assure que le cache L1 est bien effacé ;
  • En ayant un environnement dédié (hyperviseur dédié chez AWS) pour empêcher le partage des CPU.

En ce qui concerne SMM, une mise-à-jour de microcode et de firmware semble nécessaire6.

Sinon désactiver l’hyperthreading est un moyen (coûteux à mon avis) d’empêcher l’exploitation de la faille ; on ne le réactivera qu’avec précautions, mais tout cela est bien expliqué sur le site de Xen.

Liens utiles

Sur Linux

  • Ubuntu : https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/L1TF et https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-3646.html
  • Red Hat : https://access.redhat.com/security/vulnerabilities/L1TF
  • Suse : https://www.suse.com/support/kb/doc/?id=7023077

RedHat propose une présentation rapide de Foreshadow, assez bien faite.

Liens internes

  • [[Évasion de machine virtuelle|Evasion de machine virtuelle]]
  • Intel, des failles ([[Intel, des failles|première vague]], [[Intel, des failles (bis)|deuxième vague]])

Site officiel

  • https://foreshadowattack.eu/
sans_cadre

Intel, des failles (bis)

Je me répète, non ? La plaie Spectre & Meltdown n’est pas encore fermée (et l’hémorragie n’est même pas encore arrêtée) que voilà poindre de nouvelles variantes, De l’avis d’Intel, quatre des huit vulnérabilités mises au jour sont plus critiques que la vulnérabilité Spectre initiale. Gloups.

Voici, par ordre d’apparition

Nouvelles variantes

Variante 3a

CVE-2018-3540. Impact sur des hyperviseurs.

Variante 4

Les principaux intéressés travaillent d’arrache-pied pour atténuer les impacts de la faille, mais comme les variantes précédentes, cela peut affecter les performances12 des processeurs. Elle reçoit le doux nom de Speculative Store Bypass.

Toutefois, les correctifs de versions précédentes ont l’air d’atténuer3 la portée de cette variante.

Variantes 1.1 et 1.2

Des chercheurs4 ont trouvé de nouvelles variantes de Spectre ; ils ont été récompensé dans le cadre d’un Bug Bounty d’Intel.

NetSpectre

Passée relativement inaperçue5, cette variante a été découverte en mars 20186, et corrigée selon le protocole informel de la divulgation responsable, ou responsible disclosure, en juillet 2018 par Intel7.

Sources

Pour les variantes 3a et 4

  • Communication officielle de Microsoft (ADV180012)
  • Page Google Zero (Issue 1528)
  • Communication ARM, avec un intéressant tableau de vulnérabilité selon les familles de processeurs
  • Communication Intel
  • Communication AMD
  • Communication RedHat
  • Communication VMWare
  • Communication Xen (advisory 263)
  • CVE-2018-3639
Autres sources web
  • http://www.guru3d.com/news-story/eight-new-spectre-variant-vulnerabilities-for-intel-discovered-four-of-them-critical.html
  • https://www.developpez.com/actu/205147/Spectre-Meltdown-de-nouvelles-failles-dans-les-processeurs-elles-permettent-de-lire-les-registres-internes-la-memoire-kernel-et-celle-de-l-hote/
  • https://www.heise.de/ct/artikel/Super-GAU-fuer-Intel-Weitere-Spectre-Luecken-im-Anflug-4039134.html
  • https://www.cnet.com/news/intel-microsoft-reveal-new-variant-on-spectre-meltdown-chip-security-flaws/
  • https://www.us-cert.gov/ncas/alerts/TA18-141A
  • https://www.techrepublic.com/article/spectre-isnt-dead-here-are-2-new-variants-it-should-patch-against/

Pour les variantes 1.1 et 1.2

  • https://www.developpez.com/actu/214640/Encore-deux-nouvelles-vulnerabilites-de-classe-Spectre-decouvertes-elles-affectent-des-processeurs-Intel-ARM-et-probablement-AMD/

Voir aussi

KRACK

Un petit incident concernant le protocole utilisé dans quasiment tous les réseaux wifi actuels, auquel on a donné le nom évocateur de KRACK, est apparu (c’est-à-dire qu’on a communiqué publiquement dessus) aujourd’hui (16 octobre 2017).

En quelques mots : une personne (un équipement) captant physiquement le signal wifi WPA2 d’un réseau, même chiffré en bonne et due forme, peut déchiffrer tout le trafic, et donc lire tout ce qui y passe : la couche de protection WPA2 devient inutile. Si les informations qui transitent sur le réseau ciblé sont en clair, alors on peut les lire sans que vous ne vous en aperceviez. Par contre ce qui est chiffré au niveau supérieur (https, ssh, etc) reste tel quel, avec le niveau de protection attendu.

Il s’agit du genre de problème de sécurité1 énorme dont la célébrité lui vaut d’avoir son site web dédié, ses articles de presse et même un tweet du Ministère de l’Intérieur français. Quant aux solutions, elles seront longues à mettre en place car le protocole lui-même est en cause : même en le suivant scrupuleusement et sans erreur, votre implémentation est à risque. Et comme il est mis en place massivement depuis 15 ans, imagions ensemble le nombre d’équipements (réseaux et ordinateurs) à mettre à jour.

Patch à droite ou à gauche ?

Je n’arrive pas à voir clair pour le moment : je ne sais pas s’il suffit de mettre à jour le client pour éviter le problème, ou s’il faut que le client et le serveur (routeur) soient tous les deux corrigés. Je suppose que pour une correction totale incluant le protocole, il faudra que l’ensemble des équipements soient mis à niveau. Mais il semblerait que patcher le client suffise. A suivre.

Windows

Côté Windows, la mise-à-jour de sécurité semble dater du 10 octobre 2017, soit quelques jours avant la publication des premières infos sur le sujet. Le détail ne sera publié que le 1er novembre, le temps que les correctifs se diffusent. Un article détaillé (paper) est toutefois déjà disponible. S’il décrit en détail le problème, je n’ai pas vu de détail sur les exploitations possibles ; seuls quelques scénarios sont esquissés (en attendant l’ACM Conference on Computer and Communications Security du 1er décembre).

Dans sa mise-à-jour d’octobre, Microsoft a corrigé la vulnérabilité suivante : CVE-2017-13080. Après, une bonne douzaine de CVE ont été réservées pour la description de tous les problèmes identifiés, donc ça semble un peu peu. On verra par la suite…

WPA3

En juin 20182, une nouvelle version de la norme WPA, estampillée 3, voit le jour sous sa forme finale, avec la promesse de combler les failles présentes dans la version 2, ainsi que la limitation des attaques par dictionnaire. WPA3 n’est pas encore obligatoire, et un dispositif WPA2 pourra se connecter sur du WPA3. Espérons que cela n’introduise pas de faille du genre Freak.

Voir aussi

AMD, des failles

Allez, mettons tout le monde d’accord : AMD aussi à ses failles, tout comme Intel. Et son site dédié, sans quoi une faille n’est pas une faille. Comme souvent, les détails ne sont pas dévoilés1 immédiatement, tant qu’on n’a pas essayé de remédier à ces problèmes, mais cela reste inquiétant.

Continuer la lecture