Traduction de l’article de EDMUND BRUMAGHIN, chercheur chez Cisco Talos
Cisco Talos est conscient de trois nouvelles vulnérabilités affectant les processeurs Intel, AMD, Qualcomm et ARM utilisés par presque tous les ordinateurs. L’équipe étudie ces problèmes et bien qu’aucune exploitation de ces vulnérabilités dans la nature ait été observée, cela ne signifie pas que cela ne s’est pas produit. Des codes d’exploitation en POC accessibles au grand public ont été trouvés pour exploiter ces vulnérabilités.
Ces vulnérabilités ont reçu les identifiants CVE suivants :
- Meltdown: un attaquant peut accéder à la mémoire du noyau à partir de l’espace utilisateur : Rogue data cache load (CVE-2017-5754)
- Spectre: Un attaquant peut lire le contenu de la mémoire des programmes en cours d’exécution par d’autres utilisateurs : Branch target injection (CVE-2017-5715) – Bounds check bypass (CVE-2017-5753)
Ces problèmes impliquent des attaques de canal latéral et de cache qui permettent à un attaquant de voler des informations sensibles à partir d’un espace mémoire auquel il ne devrait normalement pas avoir accès. Google Project Zero a publié un blog fournissant des détails techniques concernant ces vulnérabilités. Un exemple de scénario d’attaque serait un attaquant volant des informations d’identification à partir de l’espace mémoire d’un autre processus. Deux critères doivent être remplis pour que ces vulnérabilités puissent être exploitées. L’appareil ciblé doit utiliser un processeur Intel, AMD, Qualcomm ou ARM affecté (la plupart des processeurs des 10 dernières années tombent dans la catégorie «vulnérable»). Un attaquant doit être capable d’exécuter son propre code (ceci inclut Javascript) sur l’appareil. Selon la vulnérabilité, le code peut être exécuté en tant que code non privilégié ou, dans d’autres, en tant que code privilégié (“root” ou “SYSTEM”).
Il existe trois scénarios probables où les attaquants pourraient tenter d’exploiter ces vulnérabilités :
1 – Spectre pourrait être utilisé pour lancer des attaques contre des environnements d’hébergement virtualisés. Étant donné qu’il est possible de lire la mémoire de l’hôte depuis un invité, un attaquant pourrait avoir accès au système d’exploitation hôte. Ce type de scénario d’attaque affecte principalement les fournisseurs d’hébergement cloud tels qu’Amazon, Azure, Google, etc. Ces fournisseurs veillent à ce que les clients ne soient pas affectés par ces vulnérabilités. Vérifiez auprès de votre fournisseur d’hébergement spécifique pour plus de détails. Il est important de noter que l’exploitation réussie de ces vulnérabilités dans ce scénario n’est pas triviale.
2 – Il est important de noter que Spectre est accessible depuis le navigateur Web sur les appareils concernés, ce qui pourrait permettre à des sites Web malveillants de lire des données de manière arbitraire à partir d’autres onglets du navigateur. Mozilla l’a confirmé sur son blog. Cela pourrait permettre à un attaquant distant d’obtenir des informations sensibles, telles que des données de session ou de cookie pour d’autres sessions actives. Il est important de noter que ce type d’attaque ne fonctionnerait probablement que dans des conditions spécifiques. Cette attaque nécessiterait également qu’un attaquant persuade un utilisateur de visiter un site Web malveillant afin d’exécuter le code requis pour voler des données.
3 – Meltdown pourrait permettre aux attaquants d’exploiter plus facilement des vulnérabilités supplémentaires. Meltdown permet de défaire la randomisation de l’espace adresse du noyau (KASLR). Cela signifie que toute vulnérabilité qui n’était pas exploitable auparavant à cause de KASLR est maintenant potentiellement exploitable si elle est liée à Meltdown. Cela serait spécifique à la vulnérabilité dont l’attaquant tente d’exploiter, mais du point de vue de l’attaquant, il supprime certains des obstacles et des problèmes rencontrés lors de la création de leurs exploits.
Comme pour toutes les vulnérabilités, l’application de correctifs publiés est une étape cruciale pour empêcher un attaquant d’exploiter avec succès ces vulnérabilités. Microsoft, Linux et Apple ont publié des correctifs pour Meltdown. Les autres produits concernés sont répertoriés ici. L’application du correctif Microsoft peut entraîner des problèmes d’incompatibilité avec les logiciels de sécurité existants exécutés sur votre système. Pour vérifier l’état de votre correctif, vous pouvez utiliser les modules PowerShell fournis par Microsoft. Pour les appareils Cisco concernés, veuillez vous référer à l’avis PSIRT. Actuellement, aucun correctif n’est disponible pour Spectre. Dès que les correctifs du système d’exploitation sont disponibles pour Spectre, nous vous recommandons de les appliquer à votre système dès que possible. Comme pour toutes les attaques, il est également essentiel que le vecteur d’infection initiale soit bloqué autant que possible car chacune de ces vulnérabilités nécessite un attaquant pour pouvoir exécuter du code sur un système affecté.
Quelques exemples de blocage du vecteur initial incluent :
- L’utilisation de logiciels de blocage des publicités et de désactivation des scripts peut réduire le risque d’attaques de navigateur basées sur Javascript. Cisco Umbrella peut être utilisé pour bloquer l’accès à des sites malveillants connus susceptibles de lancer des attaques ciblant ces vulnérabilités.
- Web Security Appliance (WSA) peut être utilisé pour bloquer l’accès aux sites malveillants connus.
- FirePower NGFW peut être utilisé pour bloquer les attaques réseau exploitant ces vulnérabilités.
- AMP pour endpoints et les réseaux peut être utilisée pour bloquer les droppers connus qui peuvent être utilisés pour infecter des systèmes avec des logiciels malveillants qui exploitent ces vulnérabilités. Le moteur de prévention des exploits AMP couvre plusieurs techniques qui seraient utilisées après une lecture de Meltdown ou de Spectre réussie, ce qui serait nécessaire pour obtenir l’exécution de code.
Couverture
Snort SIDs: 45357-45368
La compatibilité AMP est documentée ici. Le système de prévention des failles AMP est décrit ici. Ces signatures couvrent le PoC spécifique et l’exemple de code décrits dans les livres blancs sur Spectre et Meltdown. Bien que ces signatures aient le potentiel de détecter des variantes, elles peuvent ne pas fonctionner dans tous les cas. Nous avons toujours recommandé aux organisations concernées d’installer les correctifs de l’OS et du OS et du firmware pour se protéger contre ce type d’attaques. Talos continue de surveiller la situation et fournira des informations mises à jour dès qu’elles seront disponibles.