Plundervolt : une nouvelle faille dans les processeurs Intel

Une nouvelle faille importante vient d'être découverte au sein des processeurs Intel, elle a été baptisée Plundervolt.
Des chercheurs en sécurité ont annoncé avoir mis en lumière une nouvelle faille au sein des processeurs Intel qui concernent la technologie Intel SGX qui permet au code de niveau utilisateur d'attribuer des enclaves (régions de mémoire privées) afin de les protéger contre des processus exécutés avec des niveaux de privilèges supérieurs.
Or, il apparait qu'en contrôlant simplement la tension allouée au processeur lors de l'exécution de calculs d'enclave il est possible de corrompre l'intégrité d'Intel SGX et donc d'ouvrir une brèche permettant de mettre en place une attaque.
Heureusement, nous ne sommes pas face à une faille de type Spectre ou Meltdown impossible à corriger : Intel a déjà déployé des patchs de sécurité. Il suffit donc de mettre à jour les pilotes de son processeur pour éviter toute exploitation de la vulnérabilité Plundervolt.
-
Si vous utilisez le navigateur Chrome de Google, il convient de procéder à une mise à jour d'urgence après la détection d'une faille majeure.
-
Google a récemment déployé une mise à jour à destination de Chrome pour colmater une faille de type zero day.
Vos commentaires
Pas d'infos chez Debian
https://security-tracker.debian.org/tracker/CVE-2019-11157
Pas plus chez MS:
https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2019-11157
idem ici (réservé mais non détaillé )
https://cve.mitre.org/cgi-bin/cvename.cgi?name=2019-11157
Rien encore ici:
https://nvd.nist.gov/vuln/detail/CVE-2019-11157
Pas grand chose la:
https://vulmon.com/vulnerabilitydetails?qid=CVE-2019-11157
Suivi chez Intel:
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00289.html
Pas sur que ce soit redescendu dans les dépôts encore (ou alors le security-tracker est pas a jour).
EDIT: c'est le BIOS qu'il faut mettre à jour à priori. Il y aura une nouvelle option pour bloquer les modifications de voltage du proc (ce qui pourrait empêcher l'over/underclocking). Le fait de devoir mettre à jour le BIOS semble confirmé par le fait qu"Intel a communiqué avec les ***constructeurs***
Quelques infos ici:
https://www.tomshardware.com/news/plundervolt-new-attack-targets-intels-overclocking-mechanisms
Donc en attendant: Bloquer le voltage du CPU ou désactiver SGX.
A priori les MAJ du microcode serait possibles depuis l'OS (donc via le driver sans doute)
Bref, comme d'hab, tout mettre à jour, rien ne change
Oui, elle n'a pas été classifiée sur les différents sites dédiés.
Quand elle le sera on pourra en savoir plus, il suffira de checker les liens de mon commentaire précédent.
ici: https://www.symantec.com/security-center/vulnerabilities/writeup/111152?om_rssid=sr-advisories
on peut voir:
"Recommendations
Permit local access for trusted individuals only. Where possible, use restricted environments and restricted shells.
Ensure that only trusted users have local, interactive access to affected computers."
Donc effectivement il faut avoir un accès local à la machine, ce qui limite la portée.
Sauf qu'ici:
https://securite.developpez.com/actu/287429/Les-CPU-Intel-depuis-Skylake-sont-touches-par-Plundervolt-une-faille-ciblant-les-mecanismes-de-l-overclocking-Intel-recommande-de-ne-pas-toucher-aux-valeurs-par-defaut-du-voltage-CPU-dans-le-BIOS/
On dit qu'il suffit d'avoir un accès ring-0 (donc être root/admin, mais pas dans une VM)
Dans ce cas même a distance pas de souci.
Exemple: faille dans Apache ->shell en tant que www-data ->escalade ->shell root ->exploit PlunderVolt
Comment ?
Des détails SVP, merci !
Il faut mettre à jour le driver via les MAJ de ton OS, ou le BIOS (la procédure serait hors propos dans l'article), mais ceux ci sont rarement mis à jour par les constructeurs.
Cette faille ne sera donc probablement exploitée (si elle l'est un jour) que sur des machines hébergeant des données très sensibles par des professionnels ayant de très bonnes connaissances en électronique + informatique et ayant réussi à s’infiltrer physiquement à leurs côtés.
Elle na va pas à priori m’empêcher de dormir la nuit...
Non pas forcément physiquement présents.
Mais obligatoirement root/admin et pas dans une VM.
Après effectivement l'exploitation n'est pas simple et a priori extrémement compliquée à automatiser via un malware, cela tend a faire penser qu'il faudra être effectivement être visé directement, donc pas trop de risque pour 99.9% des utilisateurs, pour le 0.1% restant qui ont des données sensibles et intéressantes, si ces données sont dans une VM pas de souci non plus.
Ici des exemples qui montrent que c'est possible depuis l'OS (donc possible a distance):
https://miloserdov.org/?p=1932
Dans une entreprise si les choses sont a peu près bien faites (c'est rarement le cas, sauf dans les grosses structures), l'hyperviseur et les VM sont sur des réseaux différents, l'hyperviseur étant sur un réseau dédié à l'administration, donc si une VM accessible à distance (site web par exemple) contient une faille, comme on ne peut exploiter Plundervolt sur une VM, il faut:
- faille VM ->shell avec droits du serveur web ->(possiblement escalade ici) ->faille pour "sortir" de la VM ->shell avec les droits de l'hyperviseur ->escalade root/admin ->shell root/admin ->Plundervolt
ou si il n'est pas possible de sortir de la VM, mais que les réseaux sont séparés via des VLAN
- faille VM ->shell avec droits du serveur web ->(possiblement escalade ici) ->faille pour faire un saut inter VLAN ->compromission hyperviseur via un service réseau ->shell avec les droits du service compromis ->escalade root/admin ->shell root/admin ->Plundervolt
Soit de l'escape de VM, soit du saut inter VLAN, c'est des trucs qui courent pas les rues..
Si la machine qui a une faille (autre) est une machine physique, la c'est "un poil" plus simple
faille serveur web ->shell avec droits du serveur web ->escalade ->shell root ->exploit PlunderVolt
Désactiver l''hyper thread
Arreter d'overclocké votre cpu
bientot ça sera :
Bloqué le cpu a 2ghz
Désactiver la moitié des coeur
Désactiver l'igp
Mettre la ram a 600mhz
ect ect ect
Effectivement c'est ce que je disais sous un autre article, a perfs egales, un proc AMD est mieux, car il a moins de chances de voir ses perfs baisser pendant sa durée de vie.
Merci, mais ...
Avec le gestionnaire de périphériques, si je regarde le pilote de mon processeur I7, je vois :
Fournisseur du pilote : Microsoft.
Date du pilote : 21/04/2009 (!!)
Version du pilote : 10.0.18362.387
En 2019, j'ai appliqué les correctifs contre Spectre et Meltdown (vérifié à l'instant par InSpectre version 8.
Je ne suis pas encore allé voir chez Intel, il faudra que je retrouve la bonne page chez eux ...
Donc, je pense qu'écrire dans un article au titre inquiétant : "Il suffit donc de mettre à jour les pilotes de son processeur ...", sans indiquer comment, est ...
(Je m'arrête à ces 3 points, je risquerai d'être grossier et insultant !)
Edit : J'ai oublié : Mon OS et le BIOS sont à jour.