ALERTE - Fuite d’informations des processeurs (04.01.18)

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

ALERTE - Fuite d’informations des processeurs (04.01.18)

Messagede pierre » 04 01 2018

ALERTE : Multiples vulnérabilités de fuite d’informations dans des processeurs

Version initiale de l'alerte :
04 janvier 2018

Versions révisées de l'alerte
le 04 janvier 2018 à 20h00
Ajout et correction de liens

le 05 janvier 2018
Ajout de détails sur les correctifs disponibles

le 05 janvier 2018
Ajout de liens

le 05 janvier 2018 à 15h00
Ajout de détails sur les correctifs disponibles

le 05 janvier 2018 à 16h00
Ajout de détails sur les correctifs disponibles et sur les contournements possibles

le 05 janvier 2018 à 17h00
Ajout de liens et de recommandations pour Windows Server

le 09 janvier 2018
Ajout de détails sur les correctifs disponibles

le 09 janvier 2018 à 19h00
Ajout de liens et ajout de la section Preuve de concept

le 09 janvier 2018 à 20h00
Ajout de règles Yara

le 10 janvier 2018 à 11h00
Mise à jour des correctifs disponibles

le 12 janvier 2018 à 15h00
Mise à jour des correctifs disponibles

le 12 janvier 2018 à 18h00
Ajout de la section Campagne de pourriel

le 19 janvier 2018 à 19h00
Ajout de correctifs disponibles en semaine 03

le 23 janvier 2018 à 19h00
modification des recommandations suite au communiqué d'Intel

Nouvelle forme d'attaque basée sur la synchronisation
viewtopic.php?f=173&t=32759

pierre a écrit:A venir : Fondation Mozilla - Atténuation des conséquences pour une nouvelle forme d'attaque basée sur la synchronisation

Plusieurs articles de recherche récemment publiés ont démontré une nouvelle classe d'attaques de synchronisation (Meltdown et Spectre) qui fonctionnent sur les processeurs modernes. Nos expériences internes confirment qu'il est possible d'utiliser des techniques similaires à partir du contenu Web pour lire des informations privées entre différentes origines.
https://blog.mozilla.org/security/2018/ ... ng-attack/


Meltdown est une vulnérabilité matérielle trouvée exclusivement dans les microprocesseurs Intel x86 qui permet à un processus non autorisés l'accès privilégié de la mémoire. La vulnérabilité ne semble pas affecter de microprocesseurs AMD. Il a été émis un code "Common vulnerabilities and Exposures CVE-2017-5754.
https://fr.wikipedia.org/wiki/Meltdown_ ... urit%C3%A9)

Spectre (faille de sécurité) – une vulnérabilité affectant Intel, AMD et les processeurs ARM, et elles ne sont pas atténuées par KPTI (Kernel page-table isolation) dont il faut attendre de lourds ralentissement des ordinateurs.
Google détaille trois failles, qui ont leur site dédié : après Intel, ARM confirme être touché
https://www.nextinpact.com/news/105903- ... -intel.htm

Failles Meltdown/Spectre : Intel prépare des mises à jour avec ses partenaires pour le 9 janvier
https://www.nextinpact.com/news/105909- ... anvier.htm

Today's CPU vulnerability: what you need to know (Google security blog)
https://security.googleblog.com/2018/01 ... -need.html

Intel Responds to Security Research Findings
https://newsroom.intel.com/news/intel-r ... -findings/





RISQUE(S)
Atteinte à la confidentialité des données

SYSTÈMES AFFECTÉS
Processeurs Intel
La liste des processeurs vulnérables est fournie dans la section documentation.
Processeurs AMD
AMD est vulnérable à Spectre, mais pas à Meltdown.
Processeurs ARM :
ARM Cortex-R7
ARM Cortex-R8
ARM Cortex-A8
ARM Cortex-A9
ARM Cortex-A15
ARM Cortex-A17
ARM Cortex-A57
ARM Cortex-A72
ARM Cortex-A73
ARM Cortex-A75

RÉSUMÉ
[Mise à jour du 23/01/2018 : modification des recommandations suite au communiqué d'Intel (cf. section Solution)]

Le 4 janvier 2018 deux sites internet relatifs à des vulnérabilités dans plusieurs processeurs pouvant conduire à des fuites d'informations étaient rendus disponibles [1][2]. Intitulées Meltdown et Spectre ces failles regroupent trois vulnérabilités identifiées comme CVE-2017-5754 pour Meltdown et CVE-2017-5753 ainsi que CVE-2017-5715 pour Spectre.

VULNÉRABILITÉ MELTDOWN
Les processeurs modernes intègrent plusieurs fonctionnalités visant à améliorer leurs performances. Parmi celles-ci, l'exécution dites out-of-order permet d'exécuter les instructions d'un programme en fonction de la disponibilité des ressources de calculs et plus nécessairement de façon séquentielle. Une faiblesse de ce mécanisme peut cependant conduire à l'exécution d'une instruction sans que le niveau de privilèges requis ne soit correctement vérifié au préalable. Bien que le résultat de l'exécution d'une telle instruction ne soit pas validé par la suite il peut être possible de récupérer l'information en utilisant une attaque par canaux cachés.

La vulnérabilité CVE-2017-5754 permet d'exploiter une fonctionnalité présente dans plusieurs architectures de processeurs modernes afin d'accéder en lecture à des zones mémoires d'un système autrement non accessibles sans des privilèges élevés. En particulier, l'exploitation de cette vulnérabilité permet d'accéder depuis un programme s'exécutant en mode utilisateur à la mémoire du système en mode noyau. Cela peut conduire à des fuites de données sensibles présentes en mémoire et peut inclure des informations d'autres programmes ou encore des clés de chiffrement. Cette fuite d'informations peut aussi être mise en œuvre pour faciliter la compromission d'un système.

VULNÉRABILITÉ SPECTRE
L'exécution spéculative est une seconde technique d'optimisation utilisée par les processeurs modernes.
Lorsqu'un processeur est en attente d'une information de la part de la mémoire centrale, il peut continuer à exécuter des instructions de manière probabiliste afin de ne pas gâcher des cycles. Quand cette information arrive, le processeur vérifie la cohérence de son résultat anticipé. Dans le meilleur cas, il a gagné du temps car il a correctement prédit l'information. Dans le pire cas, il n'en a pas perdu car il reprend l'exécution de ses instructions avec la bonne information. Si le contenu des registres sont remis à leurs valeurs initiales, ce n'est pas le cas du cache.

L'exemple donné dans l'article décrivant Spectre est le suivant:

Code: Tout sélectionner
if (x < array1_size)
y = array2[array1[x] * 256];


Selon les bonnes pratiques, on teste si l'index est bien dans les limites du tableau avant d'y accéder. Or, si l'on a déjà demandé plusieurs fois d'accéder au tableau avec des valeurs légitimes, le processeur partira du principe que les valeurs demandées seront légitimes dans le cadre de l'exécution spéculative. Un attaquant pourra alors fournir une donnée erronée afin de provoquer un débordement de tampon. Une fois que le processeur exécutera réellement l'instruction, il se rendra compte de l'erreur, cependant le résultat de la lecture interdite restera dans le cache. Il faut ensuite récupérer cette information, ce qui n'est pas trivial.

Une autre manière d'exploiter Spectre est de forcer l'exécution spéculative à partir d'un autre processus. Le cas de figure le plus probable étant un hôte tentant d'obtenir des informations de la part de l'hyperviseur. Cette technique est la plus difficile à exploiter, mais également la plus difficile à contourner.

IMPACT
Les vulnérabilités décrites dans cette alerte peuvent impacter tous les systèmes utilisant un processeur vulnérable et donc de façon indépendante du système d'exploitation. Selon les chercheurs à l'origine de la découverte de ces failles, il est ainsi possible d'accéder à l'intégralité de la mémoire physique sur des systèmes Linux et OSX et à une part importante de la mémoire sur un système Windows.

On notera que l'impact peut être plus particulièrement important dans des systèmes de ressources partagés de type conteneur (Docker, LXC) où il serait possible depuis un environnement restreint d'accéder à toutes les données présentes sur la machine physique dans lequel s'exécute le conteneur ou encore dans des environnements virtualisés utilisant la para-virtualisation de type Xen.

PREUVE DE CONCEPT
Le CERT-FR constate que des preuves de concept fonctionnelles pour Meltdown sont désormais publiques. Les règles Yara suivantes servent à détecter les binaires liés à la bibliothèque publiée par l'Institute of Applied Information Processing and Communications (IAIK) :

Code: Tout sélectionner
rule meltdown_iaik_libkdump_meltdown_nonull {

meta:

author = "ANSSI"

TLP_level = "White"

description = "Detects Meltdown PoC libkdump meltdown_nonull method"

version = "1.0"

last_modified = "2018-01-09"

strings:

/*

.text:00000000000018A6 48 31 C0                                            xor      rax, rax   .text:00000000000018A9

.text:00000000000018A9                                     loc_18A9:                               ; CODE XREF: libkdump_read_tsx+48j

.text:00000000000018A9 8A 01                                                 mov    al, [rcx]

.text:00000000000018AB 48 C1 E0 0C                                      shl      rax, 0Ch

.text:00000000000018AF 74 F8                                                  jz        short loc_18A9

.text:00000000000018B1 48 8B 1C 03                                       mov    rbx, [rbx+rax]

*/

$asm={

48 31 C0

8A 01

48 C1 E0 0C

74 F8

48 8B 1C 03

}

condition: $asm

}


rule meltdown_iaik_libkdump_meltdown_fast {

meta:

author = "ANSSI"

TLP_level = "White"

description = "Detects Meltdown PoC libkdump meltdown_fast method"

version = "1.0"

last_modified = "2018-01-09"

strings:

    /*

.text:000000000000184F 48 31 C0                                      xor       rax, rax

.text:0000000000001852 8A 01                                           mov     al, [rcx]

.text:0000000000001854 48 C1 E0 0C                                shl       rax, 0Ch

.text:0000000000001858 48 8B 1C 03                                 mov    rbx, [rbx+rax]

*/

$asm = {

48 31 C0

8A 01

48 C1 E0 0C

48 8B 1C 03

}

condition:

$asm

}


rule meltdown_iaik_libkdump_meltdown {

meta:

author = "ANSSI"

TLP_level = "White"

description = "Detects Meltdown PoC libkdump meltdown method"

version = "1.0"

last_modified = "2018-01-09"

strings:

/*

.text:00000000000018A8 48 31 C0                                            xor     rax, rax   .text:00000000000018AB

.text:00000000000018AB                                     loc_18AB:                               ; CODE XREF: libkdump_read_tsx+4Dj

.text:00000000000018AB 48 8B 36                                           mov     rsi, [rsi]

.text:00000000000018AE 8A 01                                                mov     al, [rcx]

.text:00000000000018B0 48 C1 E0 0C                                      shl       rax, 0Ch

.text:00000000000018B4 74 F5                                                  jz        short loc_18AB

.text:00000000000018B6 48 8B 1C 03                                       mov    rbx, [rbx+rax]

*/

$asm={

48 31 C0

48 8B 36

8A 01

48 C1 E0 0C

74 F5

48 8B 1C 03

}

condition:

$asm

}


CAMPAGNE DE POURRIELS
Le CERT-FR constate qu'une campagne de pourriels visant à distribuer des logiciels malveillants a été lancée afin de profiter de la situation autour des vulnérabilité Spectre et Meltdown [32]. Des attaquants se faisant passer pour la Bundesamt für Sicherheit in der Informationstechnik (BSI), l'équivalent allemand de l'ANSSI, ont envoyé des courriers électroniques invitant leurs destinataires à se rendre sur une copie du site de la BSI. La différence avec le site officiel était une modification de l'alerte concernant les vulnérabilités: l'utilisateur était invité à installer un correctif qui se trouvait être un logiciel malveillant.

Le CERT-FR rappelle de faire preuve de la plus grande vigilance quand à l'ouverture des courriers électroniques ainsi que d'installer les correctifs de sécurité dans les plus brefs délais, et ce uniquement depuis les sources officielles des éditeurs.

CONTOURNEMENT PROVISOIRE
Dans leur article sur la vulnérabilité Meltdown, les auteurs de la publication indiquent que la fonctionnalité de sécurité KAISER [5] permet de limiter les implications dues à l'exploitation de Meltdown. Ce mécanisme a été intégré dans les dernières versions du noyau Linux sous le nom de Kernel page-table isolation (KPTI) [6] et est en cours d'intégration dans les versions précédentes du noyau.

Cette fonctionnalité renforce la séparation entre les zones mémoires accessibles en mode utilisateur et celles accessibles en mode noyau. De ce fait il n'est donc plus possible de d'accéder lors de l'utilisation de la vulnérabilité Meltdown aux informations noyau.

SYSTÈMES DE VIRTUALISATION
Les systèmes virtualisés de type Xen sont vulnérables aux failles présentés dans cette alerte. Concernant Meltdown un contournement pouvant être mis en œuvre est d'utiliser une virtualisation matérielle. En effet, d'après un avis de sécurité de l'éditeur [18], la CVE-2017-5754 n'affecte que les systèmes Xen en architecture Intel 64 bits utilisant la para-virtualisation.

D'une façon globale, l'ANSSI a émis un guide relatif à la virtualisation précisant que « les systèmes invités présents sur une même machine physique [doivent manipuler] des données qui ont une sensibilité similaire » [7].

VÉRIFICATIONS DES CORRECTIFS DISPONIBLES

WINDOWS
Microsoft a mis à disposition un script PowerShell qui permet de vérifier si un correctif pour les vulnérabilités a été appliqué sur un système Windows [4].

LINUX
Afin de s'assurer de la présence du mécanisme de sécurité KPTI sur un système utilisant un noyau Linux il est possible d'exécuter la commande suivante :

dmesg | grep 'Kernel/User page tables isolation'
Dans le cas où KPTI est activé un message sera affiché en sortie.

SOLUTION
CORRECTIFS DISPONIBLES
Plusieurs éditeurs ont publiés des correctifs partiels pour les vulnérabilités Meltdown et Spectre. Le CERT-FR recommande l'application des correctifs disponibles dès que possible.

APPLE
Apple indique dans une communication du 4 janvier 2017 que les systèmes iOS 11.2, macOS 10.13.2 et tvOS 11.2 profitent de correctifs contre la vulnérabilité Meltdown [9].

Le 8 janvier 2018, Apple a publié des correctifs pour ses produits iOS, Safari et macOS High Sierra [26].

MOZILLA
Mozilla a publié une communication annonçant que la version 57.0.4 de Firefox intègre deux correctifs de sécurité liés aux vulnérabilités décrites dans cette alerte [25].

MICROSOFT
Microsoft a annoncé dans un communiqué [10] que ses navigateurs Internet Explorer et Edge avaient bénéficié d'un correctif contre la vulnérabilité Spectre sur les systèmes Windows 10 et Windows Server 2016 [11][12]. Les correctifs de sécurité fournis par Microsoft sont néanmoins dépendants des logiciels anti-virus installés sur le système. Pour tous détails sur l'application de ces correctifs le CERT-FR recommande de se reporter au site de l'éditeur. Pour les systèmes 32 bits des versions antérieures à Windows 10 et Windows Server 2016, un correctif sera déployé à l'occasion de la mise à jour mensuelle, le 9 janvier 2018. Pour Windows Server, une simple mise à jour ne suffit par pour se prémunir du problème. Microsoft a publié une série de mesures à mettre en oeuvre pour se protéger [22]. Dans tous les cas, Microsoft conseille de mettre à jour le micrologiciel de son processeur lorsque des correctifs seront disponibles.

SUSE
Des correctifs pour les vulnérabilités Spectre et Meltdown ont été distribués par SUSE [13].

Le 11 janvier 2018, SUSE a publié des correctifs pour le noyau Linux ainsi que pour le microgiciel Intel utilisés par ses produits [29][30].

RED HAT
Des correctifs pour les vulnérabilités Spectre et Meltdown ont été distribués par Red Hat [23].

UBUNTU
Le mardi 9 janvier 2018, Ubuntu a publié plusieurs bulletins de sécurité concernant des correctifs pour la vulnérabilité Meltdown [27]. Le 11 janvier 2018, Ubuntu a publié un bulletin de sécurité annonçant la mise à disposition d'un correctif pour le microgiciel Intel [31].

VMWARE
Des correctifs contre la vulnérabilité Spectre ont été apportés par VMware pour leurs produits ESXi, Workstation et Fusion sous OS X. Il est à noter que les plateformes ESXi en version 5.5 reçoivent un correctif seulement pour la variante CVE-2017-5715 de Spectre [14].

ANDROID
Dans leur bulletin de sécurité pour les correctifs du mois de janvier 2018 [16], Android annonce ne pas détenir d'informations sur une reproduction des vulnérabilités Spectre et Meltdown sur leurs appareils. Cependant, les correctifs disponibles pour ce mois de janvier 2018 intègrent des mesures permettant de limiter le risque de tels attaques [15].

GOOGLE
Dans un communiqué sur l'état de ses produits face aux vulnérabilités Meltdown et Spectre, Google annonce que Chrome OS sous Intel profite de la fonctionnalité KPTI (correctif limitant les effets de la vulnérabilité Meltdown) pour les noyaux en versions 3.18 et 4.4 à partir de la version 63 du système d'exploitation [17].

CITRIX
Dans un avis de sécurité daté du 4 janvier 2018 Citrix annonce apporter un correctif de sécurité pour les produits Citrix XenServer 7.1 LTSR CU1 [19].

AMAZON AWS
Dans un communiqué du 4 janvier 2018 [20], Amazon indique que les instances disposant d'une configuration par défaut (Amazon Linux AMI) vont bénéficier d'une mise à jour du noyau Linux pour adresser les effets de la vulnérabilité CVE-2017-5754 (Meltdown) [21].

DEBIAN
Le 10 janvier 2018, un bulletin de sécurité publié par Debian propose un correctif pour la vulnérabilité Meltdown [28].



Pour la semaine du 15 au 21 janvier 2018, les éditeurs suivants ont publiés des correctifs pour Meldown et Spectre:

SUSE [33]
Oracle [34] [35]
Red Hat [36]
Moxa [37] (l'éditeur annonce que d'autres correctifs sont à venir)
Le 22 janvier 2018, Intel a publié un communiqué [38] pour annoncer qu'ils avaient trouvé la cause des dysfonctionnements liés à leur correctif. Dans certains cas, le correctif apporté à leur microgiciel provoquait des redémarrages intempestifs. La situation n'est toutefois pas encore résolue. Intel conseille donc de retarder l'installation du correctif pour le microprocesseur.

Le CERT-FR rappelle qu'il est important d'installer les correctifs de sécurité dans les plus brefs délais. Concernant Spectre et Meldown, il est nécessaire de mettre à jour en priorité les navigateurs puis les systèmes d'exploitation. Toutefois, il est également important de tester ces correctifs dans des environnements contrôlés avant de les pousser en production. Concernant les microgiciels d'Intel, le CERT-FR recommande une prudence accrue dans leurs déploiements voir d'attendre la version finale de ces mises à jour. En matière de risques, l'exploitation de la vulnérabilité Spectre est particulièrement complexe et est la seule à être couverte par la mise à jour du micrologiciel.





DOCUMENTATION

  1. Site détaillant le principe de la vulnérabilité
    https://meltdownattack.com/
  2. Site détaillant le principe de la vulnérabilité
    https://spectreattack.com/
  3. Bulletin de sécurité Microsoft concernant les vulnérabilités d'attaques par canaux auxiliaires d'exécution spéculative
    https://support.microsoft.com/en-us/hel ... xecution-s
  4. Bulletin de sécurité Microsoft pour les professionnels concernant les vulnérabilités d'attaques par canaux auxiliaires d'exécution spéculative
    https://support.microsoft.com/en-us/hel ... lative-exe
  5. Article du 15 novembre 2017 sur le mécanisme de sécurité KAISER
    https://lwn.net/Articles/738975/
  6. Article du 30 décembre 2017 sur l'intégration du correctif KPTI dans le noyau Linux
    https://lwn.net/Articles/742404/
  7. Avis de sécurité ARM du 3 janvier 2017
    https://developer.arm.com/support/security-update
  8. Guide relatif à la sécurité des systèmes de virtualisation
    https://www.ssi.gouv.fr/guide/problemat ... nformation
  9. Bulletin de sécurité Apple HT208394 du 4 janvier 2018
    https://support.apple.com/en-us/HT208394
  10. Billet de blogue de Microsoft du 3 janvier 2018 sur un correctif pour Internet Explorer et Edge
    https://blogs.windows.com/msedgedev/201 ... -explorer/
  11. Bulletin de sécurité de Microsoft KB4056890 du 3 janvier 2018
    https://support.microsoft.com/en-us/hel ... -kb4056890
  12. Bulletin de sécurité de Microsoft KB4056892 du 3 janvier 2018
    https://support.microsoft.com/en-us/hel ... -kb4056892
  13. Avis CERT-FR CERTFR-2018-AVI-005 Multiples vulnérabilités dans le noyau Linux de SUSE
    https://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-005
  14. Avis CERT-FR CERTFR-2018-AVI-006 Multiples vulnérabilités dans les produits VMware
    https://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-006
  15. Avis CERT-FR CERTFR-2018-AVI-002 Multiples vulnérabilités dans Google Android
    https://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-002
  16. Bulletin de sécurité Android du 2 janvier 2018
    https://source.android.com/security/bulletin/2018-01-01
  17. Communiqué de Google sur les attaques utilisant une méthode d'exécution spéculative
    https://support.google.com/faqs/answer/7622138
  18. Bulletin de sécurité Xen XSA-254 du 3 janvier 2018
    https://xenbits.xen.org/xsa/advisory-254.html
  19. Bulletin de sécurité Citrix CTX231390 du 4 janvier 2018
    https://support.citrix.com/article/CTX231390
  20. Communiqué d'Amazon AWS-2018-013 en lien avec les vulnérabilités d'exécution spéculative
    https://aws.amazon.com/fr/security/secu ... -2018-013/
  21. Avis de sécurité Amazon ALAS-2018-939 du 4 janvier 2018
    https://alas.aws.amazon.com/ALAS-2018-939.html
  22. Mesures à mettre en oeuvre pour protéger son Windows Server
    https://support.microsoft.com/en-us/hel ... -execution
  23. Avis CERT-FR CERTFR-2018-AVI-004 Multiples vulnérabilités dans le noyau Linux de RedHat
    https://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-004
  24. Communiqué Ubuntu
    https://insights.ubuntu.com/2018/01/04/ ... abilities/
  25. Avis CERT-FR CERTFR-2018-AVI-008 Multiples vulnérabilités dans Mozilla Firefox
    https://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-008
  26. Avis CERT-FR CERTFR-2018-AVI-013 Multiples vulnérabilités dans les produits Apple
    https://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-013
  27. Avis CERT-FR CERTFR-2018-AVI-017 Multiples vulnérabilités dans le noyau Linux d'Ubuntu
    https://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-017
  28. Avis CERT-FR CERTFR-2018-AVI-018 Multiples vulnérabilités dans le noyau Linux de Debian
    https://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-018
  29. Avis CERT-FR CERTFR-2018-AVI-028 Vulnérabilité dans le microgiciel Intel pour SUSE
    https://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-028
  30. Avis CERT-FR CERTFR-2018-AVI-029 Multiples vulnérabilités dans le noyau Linux de SUSE
    https://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-029
  31. Avis CERT-FR CERTFR-2018-AVI-030 Vulnérabilité dans le microgiciel Intel pour Ubuntu
    https://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-030
  32. Communiqué de la BSI
    https://www.bsi.bund.de/DE/Presse/Press ... 12018.html
  33. Avis CERT-FR CERTFR-2018-AVI-032 Multiples vulnérabilités dans le noyau Linux de SUSE
    https://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-032/
  34. Avis CERT-FR CERTFR-2018-AVI-038 Multiples vulnérabilités dans Oracle Sun Systems Products Suite
    https://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-038/
  35. Avis CERT-FR CERTFR-2018-AVI-039 Multiples vulnérabilités dans Oracle Virtualization
    https://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-039/
  36. Avis CERT-FR CERTFR-2018-AVI-040 Vulnérabilité dans le micrologiciel processeur pour Red Hat
    https://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-040/
  37. Avis CERT-FR CERTFR-2018-AVI-044 Multiples vulnérabilités dans les produits Moxa
    https://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-044
  38. Communiqué Intel
    https://newsroom.intel.com/news/root-ca ... -partners/
  39. Mise à jour du microgiciel Intel pour Linux relatif à la CVE-2017-5715
    https://downloadcenter.intel.com/downlo ... -Data-File
  40. Avis de vulnérabilité d'Intel et liste des processeurs vulnérables
    https://security-center.intel.com/advis ... geid=en-fr
  41. Commentaires d'AMD sur une éventuelle vulnérabilité de leurs processeurs
    https://www.amd.com/en/corporate/speculative-execution
  42. CERT KB
    https://www.kb.cert.org/vuls/id/584653
  43. Billet de blogue Google Project Zero
    https://googleprojectzero.blogspot.com/ ... -side.html
  44. Billet de blogue Mozilla
    https://blog.mozilla.org/security/2018/ ... ng-attack/
  45. Bulletin de sécurité Microsoft ADV180002
    https://portal.msrc.microsoft.com/en-US ... /ADV180002
  46. Bulletin de sécurité Xen
    https://xenbits.xen.org/xsa/advisory-254.html
  47. Bulletin de sécurité Cisco
    https://tools.cisco.com/security/center ... idechannel
  48. Bulletin de sécurité Fortinet FG-IR-18-002
    https://fortiguard.com/psirt/FG-IR-18-002
  49. Communication de Microsoft sur les dépendances entre la mise à jour et les logiciels anti-virus
    https://support.microsoft.com/en-us/hel ... s-released
  50. Article Intel détaillant les vulnérabilités ainsi que les contre-mesures envisagées
    https://newsroom.intel.com/wp-content/u ... annels.pdf
  51. Article ARM détaillant les vulnérabilités ainsi que les contre-mesures envisagées
    https://developer.arm.com/support/security-update
  52. Bulletin de sécurité Schneider Electric
    https://download.schneider-electric.com ... 018-005-01
  53. Bulletin de sécurité Juniper
    https://kb.juniper.net/InfoCenter/index ... &actp=LIST
Avatar de l’utilisateur
pierre
 
Messages: 22913
Inscription: 20 05 2002
Localisation: Ici et maintenant

Re: ALERTE - Fuite d’informations des processeurs (04.01.18)

Messagede pierre » 05 01 2018

Remarque :
Les problèmes viennent du hardware lui-même (conception des processeurs et exécution d'instructions par anticipation, malheureusement en ignorant certains contrôles, afin d'exploiter les temps morts).
Les correctifs sont annoncés pour le 9 janvier et entraînerons des contrôles supplémentaires dans les séquences d'exécution des instructions, dans les applications, et, autant que faire se peut, l'empêchement de l'exécution d'instructions par anticipation alors que l'on ne sait même pas si elles ont les droits (privilèges) d'être exécutées et leurs données manipulées se trouver dans les zones mémoires atteignables par d'autres codes, dont ceux exploitant ces deux failles de sécurité : Meltdown and Spectre.
Avant que les processeurs eux-mêmes, et leurs microcodes, ne soient modifiés, et ne se retrouvent dans de nouveaux modèles d'ordinateurs, les correctifs apportés le 9 janvier 2018, au niveau des systèmes d'exploitation et des BIOS, RALENTIRONT l'efficience de nos ordinateurs et tenteront de contourner les failles, sans pouvoir les corriger.
Avatar de l’utilisateur
pierre
 
Messages: 22913
Inscription: 20 05 2002
Localisation: Ici et maintenant

Re: ALERTE - Fuite d’informations des processeurs (04.01.18)

Messagede zartoc » 05 01 2018

Bonjour,

Un POC en C pour Spectre : https://gist.github.com/ErikAugust/724d ... 2a9e3d4bb6 (lire aussi les commentaires, c'est intéressant)

Vous pouvez aussi le tester directement en ligne, avec n'importe quel navigateur supportant javascript : https://repl.it/repls/DeliriousGreenOxpecker

Il suffit de cliquer sur "run" et voir le résultat dans le cadre de droite.

Tout ça c'est trop technique pour moi mais si j'ai bien compris le principe, si les lettres de la phrase "The Magic Words are Squeamish Ossifrage." s'affiche alors vous êtes vulnérable.
Ce qui est le cas pour tous mes navigateurs, avec ou sans Sandboxie. (à deux lettres près pour mon vieil Opera).

Maintenant, j'ai du mal à comprendre comment cette faille est concrètement exploitable ?

Si je visite ma banque et que dix minutes plus tard je visite un site avec ce genre de code JS, est-ce que le site sera capable de rappatrier mon login, mot de passe et site de la banque en lisant dans la mémoire ram ?

edit: et si je visite le site ma banque et ferme mon navigateur juste après. Est-ce qu'en rouvrant le navigateur les infos sont toujours dans la mémoire ram ?
zartoc
 
Messages: 27
Inscription: 07 08 2014

Re: ALERTE - Fuite d’informations des processeurs (04.01.18)

Messagede pierre » 09 01 2018

Nombreuses révisions de l'alerte, dont ajout du POC indiqué ci-dessus par Zartoc
Inventaire des correctifs et contournements
Avatar de l’utilisateur
pierre
 
Messages: 22913
Inscription: 20 05 2002
Localisation: Ici et maintenant

Re: ALERTE - Fuite d’informations des processeurs (04.01.18)

Messagede zartoc » 10 01 2018

Bonjour,


Pour info j'ai installé la mise à jour pour windows 7 x64. Je n'ai pas remarqué de ralentissement notables (mais mon ordinateur n'est pas super rapide à la base) par contre deux trucs : hier chaque fois que je coupais-collais ou renommais un fichier une fenêtre disant "le programme est en utilisation, recommencer" s'affichait. Il me suffisait de cliquer sur "recommencer" pour que ça marche.
Aujourd'hui, rien.

Deuxième chose, sandboxie ne marche plus. Il faut installer la dernière version bêta, mais je me suis rendu compte avec stupeur qu'il n'y a pas de désinstallateur pour sandboxie, ni dans le panneau de config, ni dans le dossier de sandboxie.
Il y en a peut-être un dans sandboxie control mais comme je ne peux pas le lancer...

Tant pis, je verrai plus tard.
zartoc
 
Messages: 27
Inscription: 07 08 2014


Re: ALERTE - Fuite d’informations des processeurs (04.01.18)

Messagede pierre » 12 01 2018

Versions révisées de l'alerte

le 12 janvier 2018 à 15h00
Mise à jour des correctifs disponibles

le 12 janvier 2018 à 18h00
Ajout de la section Campagne de pourriel

Campagne de pourriels

Une campagne de pourriels visant à distribuer des logiciels malveillants a été lancée afin de profiter de la situation autour des vulnérabilité Spectre et Meltdown. Des attaquants se faisant passer pour la Bundesamt für Sicherheit in der Informationstechnik (BSI), l'équivalent allemand de l'ANSSI, ont envoyé des courriers électroniques invitant leurs destinataires à se rendre sur une copie du site de la BSI. La différence avec le site officiel était une modification de l'alerte concernant les vulnérabilités: l'utilisateur était invité à installer un correctif qui se trouvait être un logiciel malveillant.

Faire preuve de la plus grande vigilance quand à l'ouverture des courriers électroniques ainsi que d'installer les correctifs de sécurité dans les plus brefs délais, et ce uniquement depuis les sources officielles des éditeurs.
Avatar de l’utilisateur
pierre
 
Messages: 22913
Inscription: 20 05 2002
Localisation: Ici et maintenant

Re: ALERTE - Fuite d’informations des processeurs (04.01.18)

Messagede zartoc » 18 01 2018

Bonsoir,

Un petit outil de détection : https://www.grc.com/inspectre.htm

Ça fonctionne en mode normal, pas besoin d'être administrateur.

Il a l'air de dire que je suis protégé de Meltdown, pas de Spectre (normal, c'est pas demain la veille que j'aurais un bios pour mon pc vieux de 5 ans).

Il dit aussi que le PCID qui améliore les performances n'est pas activé. Ça je le savais déjà mais, plus étonnant, il m'apprend que ce n'est pas à cause de mon processeur mais parce que le patch fournit par Microsoft n'active le PCID que pour Windows 10, pas Windows 7.

Je savais pas.
zartoc
 
Messages: 27
Inscription: 07 08 2014

Re: ALERTE - Fuite d’informations des processeurs (04.01.18)

Messagede Tourix » 21 01 2018

Bonsoir merci zartoc, très bon l'outil et en plus ça vient du site GRC
Avatar de l’utilisateur
Tourix
 
Messages: 543
Inscription: 10 06 2014


Suivante

Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 7 invités