Qu’est ce que ZombieLoad ?

Dans la foulée des attaques Spectre et Meltdown, une nouvelle attaque visant les processeurs Intel a été publiée le 14 Mai 2019. La team sécurité de Kyos enquête pour vous. La faille concerne à priori tous les ordinateur équipés de processeurs Intel produits après 2011.

Contexte

Zombieload est une attaque de la même famille que Meltdown dont nous avons déjà parlé précédemment. L’attaque utilise l’exécution spéculative et plus particulièrement la façon dont les processeurs Intel tiennent un tampon des données à charger dans le cache du microprocesseur.

A des fins d’optimisation pour augmenter les performances, les processeurs moderne tentent de deviner la suite de l’exécution du processus quand le processeur n’est pas chargé au maximum. Si le processeur a “deviné juste” un gain de temps considérable peut être obtenu ; et si le choix est faux le coût en temps est quasi null étant donné que le processeur n’était pas chargé. Ce mécanisme cause toute fois de nombreux chargements de données parfois inutiles en mémoire. De plus, le risque que ces données ne soient pas correctement effacées existe.

C’est en générant une entrée non valide dans le tampon des données à charger dans le cache du processeur, que l’attaquant peut réussir à avoir accès à des données traitées par un autre processus. Comme dans le cas de Meltdown, deux variante de l’attaque sont possible et donnent des résultats différents en fonction du système (Windows, Mac ou Linux) sur lequel l’attaque a lieu si l’utilisateur n’a pas des privilège d’administrateur.

Cette attaque a un impact critique car elle permet la compromission complète de l’environnement dans lequel elle est exploitée, y compris entre machines virtuelles tournant sur le même processeur physique. Cependant cette attaque étant également extrêmement complexe à mettre en œuvre dans un environnement autre qu’un environnement de laboratoire, sa probabilité d’occurrence est donc quasi nulle.

Y a-t-il une solution ?

Contrairement à ce qui c’était passé pour Meltdown et Spectre, les chercheurs derrière Zombieload ont fait une divulgation maitrisée. Intel a eu le temps de proposer une mise à jour du microcode de ses processeurs. Cette mise à jour nécessite également une mise à jour des système d’exploitation.

A l’heure actuelle, Microsoft, Apple et la communauté Linux ont proposé des correctifs pour cette attaque :

  • l’update 10.14.5 de Macosx Mojave couvre le problème,
  • le patch tuesday de mai 2019 de Microsoft contient les correctifs nécessaires,
  • et le kernel Linux 5.1.2 en fait autant côté linux.

Que faire maintenant ?

Il n’y a pas tant de nouvelles choses sous le soleil que ça. Une stricte application des bonnes pratiques de sécurité semble suffisante pour réduire en grande partie les risques liés à ces vulnérabilités, à commencer par l’application des correctifs de sécurités des fabricants et éditeurs.

Cette vulnérabilité peut également nous permettre de nous reposer les bonnes questions quant à la ségrégation de nos données sur des environnement virtualisés.

Finalement, à notre connaissance, il s’agit de la première vulnérabilité qui pourrait théoriquement être exploitée dans un environnement cloud. De quoi nourrir encore un nos réflexions en la matière.

En résumé

Zombieload
Divulgation d’information du même processus. Oui
Divulgation d’information d’autres processus Oui
Divulgation d’information de l’OS Oui
Divulgation d’information d’autres environnements dans le cas de la virtualisation Oui
Divulgation d’information dans des environnements cloud Oui
Exploitation à distance Non
Impact visant principalement Système
Architecture impactée Intel

Pour en savoir plus ?

Pour en savoir plus sur l’attaque Kyos recommande le white paper de Zombieload. https://zombieloadattack.com/zombieload.pdf