Crédit : Image 95310223 © Jakub Krechowicz|Dreamstime.com
Des chercheurs ont découvert une nouvelle stratégie d’attaque qui exploite la fonction d’exécution spéculative des processeurs modernes pour divulguer des informations éventuellement sensibles de la mémoire du noyau. L’attaque contourne quelques-unes des défenses logicielles mises en place par certains systèmes d’exploitation pour éviter les exploits précédents de cette nature.
L’attaque, appelée Retbleed par des chercheurs de l’université suisse ETH Zurich, fonctionne à la fois contre les processeurs Intel et AMD. Sur Intel, il est suivi en tant que CVE-2022-29901 et affecte les générations de processeurs 6, 7 et 8, bien qu’à des degrés différents et en fonction des atténuations utilisées par le système d’exploitation. Sur AMD, il est suivi en tant que CVE-2022-29900 et affecte les processeurs AMD Zen 1, Zen 1 et Zen 2.
Qu’est-ce que Retbleed ?
Retbleed appartient à la même classe d’attaques que Spectre, une attaque annoncée en janvier 2018 qui a lancé plusieurs années de recherche universitaire sur les problèmes de sécurité liés à l’exécution spéculative, un système que les processeurs modernes utilisent pour augmenter les performances. L’exécution spéculative est une fonction CPU qui utilise des algorithmes internes pour tenter de deviner à l’avance le chemin que prendra l’exécution d’un programme lorsqu’il atteindra une branche conditionnelle dans le code. L’objectif est d’effectuer à l’avance des instructions sur le parcours prévu et de stocker les résultats, qui peuvent consister en des informations délicates, dans des caches CPU brièvement pour les servir quand et si la circulation d’exécution du programme l’exige. Si les prévisions s’avèrent incorrectes, les résultats sont éliminés.
Avec la classe d’attaques Spectre, les scientifiques ont montré que le code malveillant peut utiliser différentes méthodes pour diriger délibérément les processeurs vers des cours de code qui exposeraient des détails délicats et après cela, extrayez ces détails des caches en utilisant des techniques de canal latéral. Depuis 2018, les scientifiques ont en fait trouvé de nombreuses variantes de Spectre, en utilisant diverses méthodes pour forcer les prédictions erronées.
Intel et AMD ont réagi en ajoutant des atténuations basées sur le matériel : la spéculation indirecte restreinte à la branche (IBRS) et plus tard l’amélioration de la restriction indirecte à la branche. spéculation (eIBRS) pour Intel et CSV2 pour AMD. D’un autre côté, les chercheurs de Google ont proposé une technique d’atténuation basée sur un logiciel appelée retpoline qui a été adoptée par certains fournisseurs de systèmes d’exploitation et d’hyperviseurs.
» Contrairement à ses frères ou sœurs, qui ont déclenché une spéculation dangereuse sur les cibles de branche en exploitant indirect sauts ou appels, les exploits de Retbleed renvoient des instructions », ont déclaré les scientifiques de l’ETH Zurich dans leur rapport. » Cela suggère beaucoup, étant donné que cela sape certaines de nos défenses Spectre-BTI existantes. «
En particulier, l’atténuation de la retpoline consiste à modifier les plongées indirectes et les appels avec des retours du fait qu’en 2018, il a été jugé impossible d’exploiter les rendements en raison du fait que, dans des conditions normales, les rendements ne sont pas prévus en tant que branches indirectes. Cependant, les scientifiques de l’ETH Zurich ont trouvé des conditions permettant une telle exploitation et elles sont plus typiques qu’on ne le croyait auparavant.
» Sur Intel, les retours commencent à se comporter comme des sauts indirects lorsque le tampon de pile de retour, qui contient les prédictions de cible de retour , est débordé », expliquent-ils. » Cela se produit lors de l’exécution de piles d’appels profondes. Lors de notre examen, nous avons découvert plus d’un millier de ces conditions qui peuvent être déclenchées par un appel système. «
» Sur AMD, les retours agiront comme une branche indirecte malgré l’état de leur pile d’adresses de retour », ont ajouté les chercheurs. » En empoisonnant la directive de retour en utilisant un saut indirect, le prédicteur de branche AMD présumera qu’il subira un saut indirect au lieu d’un retour et prévoira par conséquent une cible de branche indirecte. Cela signifie que tout retour que nous pouvons atteindre via un appel système peut utiliser âEUR » et il y en a beaucoup. «
Impact et atténuations pour Retbleed
Les chercheurs ont développé leur attaque de preuve de concept sur Linux et ont coordonné la divulgation avec les concepteurs du noyau Linux et Intel. La réparation de l’application retpoline sous Linux a nécessité des modifications de fichiers 68, l’ajout de nouvelles lignes de code 1,783 et la suppression de lignes 387. La nouvelle atténuation s’accompagne également d’un coût de performance que le devis des scientifiques se situe entre 14% et 39%. .
Les systèmes informatiques Windows et Apple avec des processeurs affectés sont également en théorie impactés car il s’agit d’un problème de microarchitecture. Dans son propre avis de sécurité, Intel a déclaré que « le système d’exploitation Windows utilise IBRS par défaut, donc aucune mise à jour n’est nécessaire ».
Intel décrit l’attaque Retbleed comme Return Stack Buffer Underflow (RSBU) et indique dans sa mise à jour les conseils du développeur selon lesquels « l’activation d’IBRS (composé d’IBRS amélioré) atténuera l’attaque RSBU ».
EIBRS est plus performant que l’IBRS standard, mais certains processeurs de génération Skylake plus anciens ne prennent pas en charge l’atténuation, ce qui C’est pourquoi certains fournisseurs de systèmes d’exploitation ou gestionnaires de fabricants virtuels n’autorisaient pas l’IBRS moins performant par défaut et utilisaient plutôt l’atténuation logicielle de retpoline, et retpoline est sensible à cette attaque. Intel a mis à jour son tableau des processeurs impactés par les « attaques à court terme » consistant en Retbleed/RSBU et se prépare à fournir des mises à jour du microcode pour certains des processeurs.
D’autre part, AMD a découvert que Retbleed est une des circonstances d’un comportement de microarchitecture plus basique que les ingénieurs de l’entreprise ont appelé Branch Type Confusion (CVE-2022-23825). Le fournisseur a publié de tout nouveaux conseils de conception pour réduire cette catégorie de problèmes.
Les fournisseurs d’hyperviseurs tels que Xen et Citrix ont lancé leurs propres avis et correctifs. Xen a lancé des correctifs juste pour traiter le problème sur certains processeurs AMD en disant que « pour les processeurs ARM et Intel, Xen a implémenté les valeurs par défaut recommandées par le fournisseur dans XSA-254 et les réparations de suivi » qui ne nécessitent plus de réparations pour le moment. Les administrateurs qui ont dévié des mesures d’atténuation par défaut doivent réévaluer leurs modèles de risque en raison du fait qu’ils pourraient être touchés. De même, les correctifs de Citrix ne concernent que les processeurs AMD Zen 1 et AMD Zen 2, car la société a déterminé que son hyperviseur fonctionnant sur les processeurs AMD Zen 3 et Intel n’est pas affecté.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
