Plundervolt : une nouvelle faille dans les processeurs Intel

Le par  |  10 commentaire(s)
plundervolt

Une nouvelle faille importante vient d'être découverte au sein des processeurs Intel, elle a été baptisée Plundervolt.

Des chercheurs en sécurité ont annoncé avoir mis en lumière une nouvelle faille au sein des processeurs Intel qui concernent la technologie Intel SGX qui permet au code de niveau utilisateur d'attribuer des enclaves (régions de mémoire privées) afin de les protéger contre des processus exécutés avec des niveaux de privilèges supérieurs.

plundervolt

Or, il apparait qu'en contrôlant simplement la tension allouée au processeur lors de l'exécution de calculs d'enclave il est possible de corrompre l'intégrité d'Intel SGX et donc d'ouvrir une brèche permettant de mettre en place une attaque.

Heureusement, nous ne sommes pas face à une faille de type Spectre ou Meltdown impossible à corriger : Intel a déjà déployé des patchs de sécurité. Il suffit donc de mettre à jour les pilotes de son processeur pour éviter toute exploitation de la vulnérabilité Plundervolt.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2085826
MAJ faite merci

Pas d'infos chez Debian
https://security-tracker.debian.org/tracker/CVE-2019-11157
Pas plus chez MS:
https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2019-11157
idem ici (réservé mais non détaillé )
https://cve.mitre.org/cgi-bin/cvename.cgi?name=2019-11157
Rien encore ici:
https://nvd.nist.gov/vuln/detail/CVE-2019-11157
Pas grand chose la:
https://vulmon.com/vulnerabilitydetails?qid=CVE-2019-11157

Suivi chez Intel:
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00289.html

Pas sur que ce soit redescendu dans les dépôts encore (ou alors le security-tracker est pas a jour).

EDIT: c'est le BIOS qu'il faut mettre à jour à priori. Il y aura une nouvelle option pour bloquer les modifications de voltage du proc (ce qui pourrait empêcher l'over/underclocking). Le fait de devoir mettre à jour le BIOS semble confirmé par le fait qu"Intel a communiqué avec les ***constructeurs***

Quelques infos ici:

https://www.tomshardware.com/news/plundervolt-new-attack-targets-intels-overclocking-mechanisms

Donc en attendant: Bloquer le voltage du CPU ou désactiver SGX.

A priori les MAJ du microcode serait possibles depuis l'OS (donc via le driver sans doute)

Bref, comme d'hab, tout mettre à jour, rien ne change
Le #2085836
SI il faut pouvoir modifier le voltage du CPU pour lancer cette attaque, c'est une vulnérabilité extrêmement faible.
Le #2085840
Phil995511 a écrit :

SI il faut pouvoir modifier le voltage du CPU pour lancer cette attaque, c'est une vulnérabilité extrêmement faible.


Oui, elle n'a pas été classifiée sur les différents sites dédiés.
Quand elle le sera on pourra en savoir plus, il suffira de checker les liens de mon commentaire précédent.

ici: https://www.symantec.com/security-center/vulnerabilities/writeup/111152?om_rssid=sr-advisories

on peut voir:

"Recommendations

Permit local access for trusted individuals only. Where possible, use restricted environments and restricted shells.
Ensure that only trusted users have local, interactive access to affected computers."

Donc effectivement il faut avoir un accès local à la machine, ce qui limite la portée.

Sauf qu'ici:

https://securite.developpez.com/actu/287429/Les-CPU-Intel-depuis-Skylake-sont-touches-par-Plundervolt-une-faille-ciblant-les-mecanismes-de-l-overclocking-Intel-recommande-de-ne-pas-toucher-aux-valeurs-par-defaut-du-voltage-CPU-dans-le-BIOS/

On dit qu'il suffit d'avoir un accès ring-0 (donc être root/admin, mais pas dans une VM)
Dans ce cas même a distance pas de souci.

Exemple: faille dans Apache ->shell en tant que www-data ->escalade ->shell root ->exploit PlunderVolt

Le #2085842
"Il suffit donc de mettre à jour les pilotes de son processeur pour éviter toute exploitation de la vulnérabilité Plundervolt." :

Comment ?

Des détails SVP, merci !
Le #2085844
Nanard71 a écrit :

"Il suffit donc de mettre à jour les pilotes de son processeur pour éviter toute exploitation de la vulnérabilité Plundervolt." :

Comment ?

Des détails SVP, merci !


Il faut mettre à jour le driver via les MAJ de ton OS, ou le BIOS (la procédure serait hors propos dans l'article), mais ceux ci sont rarement mis à jour par les constructeurs.


Le #2085848
Le fait de modifier la tension des puces pour les pousser à leurs limites et permettre ainsi de mettre en évidence des "failles" dans leur comportment est un procédé connu qui à déjà été utilisé dans le passé. Ce genre de pratiques se font en laboratoires, dans la pratique / réalité de tous les jours, il faut déjà avoir accès aux réglages des tensions du CPU pour commencer à tenter de dérober quoi que ce soit...

Cette faille ne sera donc probablement exploitée (si elle l'est un jour) que sur des machines hébergeant des données très sensibles par des professionnels ayant de très bonnes connaissances en électronique + informatique et ayant réussi à s’infiltrer physiquement à leurs côtés.

Elle na va pas à priori m’empêcher de dormir la nuit...
Le #2085861
Phil995511 a écrit :

Le fait de modifier la tension des puces pour les pousser à leurs limites et permettre ainsi de mettre en évidence des "failles" dans leur comportment est un procédé connu qui à déjà été utilisé dans le passé. Ce genre de pratiques se font en laboratoires, dans la pratique / réalité de tous les jours, il faut déjà avoir accès aux réglages des tensions du CPU pour commencer à tenter de dérober quoi que ce soit...

Cette faille ne sera donc probablement exploitée (si elle l'est un jour) que sur des machines hébergeant des données très sensibles par des professionnels ayant de très bonnes connaissances en électronique + informatique et ayant réussi à s’infiltrer physiquement à leurs côtés.

Elle na va pas à priori m’empêcher de dormir la nuit...


Non pas forcément physiquement présents.
Mais obligatoirement root/admin et pas dans une VM.
Après effectivement l'exploitation n'est pas simple et a priori extrémement compliquée à automatiser via un malware, cela tend a faire penser qu'il faudra être effectivement être visé directement, donc pas trop de risque pour 99.9% des utilisateurs, pour le 0.1% restant qui ont des données sensibles et intéressantes, si ces données sont dans une VM pas de souci non plus.

Ici des exemples qui montrent que c'est possible depuis l'OS (donc possible a distance):

https://miloserdov.org/?p=1932

Dans une entreprise si les choses sont a peu près bien faites (c'est rarement le cas, sauf dans les grosses structures), l'hyperviseur et les VM sont sur des réseaux différents, l'hyperviseur étant sur un réseau dédié à l'administration, donc si une VM accessible à distance (site web par exemple) contient une faille, comme on ne peut exploiter Plundervolt sur une VM, il faut:

- faille VM ->shell avec droits du serveur web ->(possiblement escalade ici) ->faille pour "sortir" de la VM ->shell avec les droits de l'hyperviseur ->escalade root/admin ->shell root/admin ->Plundervolt

ou si il n'est pas possible de sortir de la VM, mais que les réseaux sont séparés via des VLAN

- faille VM ->shell avec droits du serveur web ->(possiblement escalade ici) ->faille pour faire un saut inter VLAN ->compromission hyperviseur via un service réseau ->shell avec les droits du service compromis ->escalade root/admin ->shell root/admin ->Plundervolt

Soit de l'escape de VM, soit du saut inter VLAN, c'est des trucs qui courent pas les rues..

Si la machine qui a une faille (autre) est une machine physique, la c'est "un poil" plus simple

faille serveur web ->shell avec droits du serveur web ->escalade ->shell root ->exploit PlunderVolt


Le #2085913
Pour etre en sécurité chez intel en 2019


Désactiver l''hyper thread
Arreter d'overclocké votre cpu

bientot ça sera :
Bloqué le cpu a 2ghz
Désactiver la moitié des coeur
Désactiver l'igp
Mettre la ram a 600mhz

ect ect ect
Le #2085915
DavidMaraux a écrit :

Pour etre en sécurité chez intel en 2019


Désactiver l''hyper thread
Arreter d'overclocké votre cpu

bientot ça sera :
Bloqué le cpu a 2ghz
Désactiver la moitié des coeur
Désactiver l'igp
Mettre la ram a 600mhz

ect ect ect


Effectivement c'est ce que je disais sous un autre article, a perfs egales, un proc AMD est mieux, car il a moins de chances de voir ses perfs baisser pendant sa durée de vie.
Le #2086018
LinuxUser a écrit :

Nanard71 a écrit :

"Il suffit donc de mettre à jour les pilotes de son processeur pour éviter toute exploitation de la vulnérabilité Plundervolt." :

Comment ?

Des détails SVP, merci !


Il faut mettre à jour le driver via les MAJ de ton OS, ou le BIOS (la procédure serait hors propos dans l'article), mais ceux ci sont rarement mis à jour par les constructeurs.


Merci, mais ...
Avec le gestionnaire de périphériques, si je regarde le pilote de mon processeur I7, je vois :
Fournisseur du pilote : Microsoft.
Date du pilote : 21/04/2009 (!!)
Version du pilote : 10.0.18362.387

En 2019, j'ai appliqué les correctifs contre Spectre et Meltdown (vérifié à l'instant par InSpectre version 8.

Je ne suis pas encore allé voir chez Intel, il faudra que je retrouve la bonne page chez eux ...

Donc, je pense qu'écrire dans un article au titre inquiétant : "Il suffit donc de mettre à jour les pilotes de son processeur ...", sans indiquer comment, est ...
(Je m'arrête à ces 3 points, je risquerai d'être grossier et insultant !)

Edit : J'ai oublié : Mon OS et le BIOS sont à jour.
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme