+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités
    Avatar de Patrick Ruiz
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    février 2017
    Messages
    501
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Communication - Médias

    Informations forums :
    Inscription : février 2017
    Messages : 501
    Points : 16 743
    Points
    16 743

    Par défaut Meltdown et Spectre : des prototypes de logiciels malveillants en circulation

    Meltdown et Spectre : des prototypes de logiciels malveillants en circulation
    Plus d’une centaine dans le compteur des firmes de sécurité

    Google a procédé à la publication des détails relatifs aux failles Meltdown et Spectre le 3 janvier dernier. La firme de Mountain View a, dans le même temps, publié des preuves de concept (PoC) qui ont d’ailleurs été transmises aux industriels en juin 2017. D’après des rapports des firmes de sécurité AV-TEST et Fortinet, l’expérimentation avec ces PoC bat son plein.

    Si aucune victime n’est à déplorer à ce jour, il faut souligner que d’après des informations tirées de la base de données virale d’AV-TEST, 119 programmes uniques exploitant ces failles sont apparus entre le 7 et le 22 janvier. Il n’est donc pas difficile de faire l’hypothèse selon laquelle à date le nombre de tels logiciels est plus important.

    Nom : Samples.jpg
Affichages : 2191
Taille : 45,6 Ko

    Pas de panique pour le moment puisque d’après Fortinet, les échantillons analysés sont tous basés sur les preuves de concept mises à la disposition du public par Google. Il s’agirait donc plutôt de logiciels de démonstration qui exploitent lesdites failles, mais ne causent pas encore de dégâts. Le mystère demeure quant à savoir qui est derrière les logiciels détectés. On peut toutefois penser que ces derniers émanent de chercheurs en sécurité dans le cadre de leur travail ou de cybercriminels qui cherchent à transformer les vulnérabilités en armes.

    Microsoft a récemment publié une mise à jour de désactivation des correctifs (proposés par Intel) de la vulnérabilité Spectre , preuve que le degré de complexité de ces failles, particulièrement celui de la variante 2 de Spectre, est considérable. Elles ne devraient donc pas intéresser le premier venu d’autant plus que le vecteur d’exploitation le plus évident (JavaScript) est neutralisé. Microsoft a, par le biais de Windows Update, déployé la mise à jour KB4056890 pour les utilisateurs du navigateur Edge au sein de la Fall Creators Update en date du 3 janvier. Pour ce qui est de Mozilla, une version mise à jour de Firefox Quantum (la 57.0.4) est désormais disponible. Quant à Google Chrome, la version 64 disponible depuis le 23 janvier, intègre les protections nécessaires. On voit donc beaucoup plus de groupes de cybercriminels financés par des États s’intéresser à ces vulnérabilités.

    Toutefois, des projets publiés sur GitHub permettent de se rendre compte du potentiel destructeur que les cybercriminels capables de transformer ces vulnérabilités en armes auront sous la main. Meltdown exploite une faille processeur et permet à un attaquant d’exfiltrer des informations de la mémoire du noyau du système d’exploitation. Un contributeur a publié une vidéo de reconstruction d’image de chat à partir de données récupérées dans la mémoire, ce, en exploitant la PoC de cette faille.


    Ce n’est donc peut-être qu’une question de temps avant que les victimes se comptent en nombre comme dans le cas de WannaCry. Il conviendrait donc déjà de prendre les mesures qui s’imposent. Microsoft a publié un outil de diagnostic pour faire l’état de ses protections sous Windows. Des outils similaires existent sous Linux. L’application des correctifs publiés par les éditeurs de systèmes d’exploitation dès le 3 janvier devrait suffire à se prémunir contre les attaques exploitant Meltdown. Pour ce qui est de Spectre, il faudra peut-être se tourner vers Google qui, semble-t-il, propose la meilleure solution.

    Sources

    Google +
    Fortinet

    Votre opinion

    Combien de temps d’après vous faudra-t-il encore attendre avant que des armes exploitant ces failles n'émergent ?

    Voir aussi

    Windows : vous n'avez pas reçu les mises à jour de sécurité contre la vulnérabilité Meltdown ? Microsoft donne des explications
    Vulnérabilités Meltdown et Spectre : Intel devrait livrer ses premiers processeurs dotés de protections intégrées plus tard cette année
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre émérite Avatar de marsupial
    Homme Profil pro
    DevOp, Tech leader
    Inscrit en
    mars 2014
    Messages
    761
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : DevOp, Tech leader

    Informations forums :
    Inscription : mars 2014
    Messages : 761
    Points : 2 254
    Points
    2 254

    Par défaut

    D'après moi, au doigt mouillé, en se basant sur Eternal Blue qui a pris 2 mois avant WannaCry, je dirai les tout premiers avant la fin de l'hiver mais plus sûrement au printemps. Ce serait surprenant de leur part, mais ils pourraient très bien ne pas l'exploiter si les microcodes sont de sortie sous 30 jours.

    De plus, je perçois ces failles utilisées essentiellement pour de l'espionnage industriel ou du sabotage. Donc plus par des états. Et 149 PoC à la date d'hier, cela veut dire que beaucoup de monde s'y intéresse de près. D'ailleurs, je me demande ce que le DoD ou notre ministère des Armées en pense.

    Conclusion : planquez vos données. Et prévoyez un plan d'urgence en cas de défaillance. Car pour l'instant les SI se trouvent sous une épée de Damoclès placées juste au dessus de leur tête et à chaque jour qui passe, elle s'abaisse lentement mais sûrement.
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  3. #3
    Expert éminent
    Avatar de Kannagi
    Homme Profil pro
    cyber-paléontologue
    Inscrit en
    mai 2010
    Messages
    2 247
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : cyber-paléontologue

    Informations forums :
    Inscription : mai 2010
    Messages : 2 247
    Points : 6 543
    Points
    6 543

    Par défaut

    D'un coté en étudiant très prés ces failles elle sont faciles a faire donc normal que il y'a beaucoup de PoC et je suis étonné qu'aucun cybercriminel ne l'ai utilisé depuis la découverte de la faille :p

    Pour ceux qui doute que ces failles sont simple :

    La théorie est qu'après une condition (pour être exact un branchement conditionnel) , le processeur va choisir de l’exécuter ou pas , s'il choisi de l’exécuter il va "prendre de l'avance" en exécutant la suite.
    exemple :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    if( x < y)
         mavar = *addrkernelWindows;
    Donc théoriquement il va exécuter 'mavar = *addrkernelWindows;' , même si la condition est fausse.
    Le truc c'est qu'il ne l’exécute pas réellement , mais pour optimiser il va laisser dans la mémoire cache une trace de *addrkernelWindows.
    Mais techniquement ce code est inutilisable parce que on ne peut pas lire le cache directement (cet exemple est juste pour dire que oui le CPU fait un truc complètement interdit , lire le kernel ou une quelconque adresse arbitraire).

    Admettons que je fasse cela:
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    if( x < y)
         mavar = buffer[*addrkernelWindows]; // et que *addrkernelWindows soit un type char *
    Ben mon buffer a était écrit sur le cache , donc on va faire une boucle sur les 256 éléments de mon buffer et on va regarder celui qui a un accès rapide , admettons que tous font environ 100 cycle et que j'ai l’accès a mon buffer[57] a 30 cycles , ben la valeur de *addrkernelWindows fait 57 , vu que l’exécution spéculative a mis mon buffer[57] dans le cache.

    Voila la faille MeltDown et Spectre (la différence de ce que j'ai lu est seulement l’accès au donné , impossible de lire le Kernel sur les proc autre qu' intel).

    NT : trompé l’exécution spéculative est loin d’être trivial , pour le buffer pour diverse raison lié au cache il va avoir un décalage pour pouvoir mesurer de manière précise le buffer (un *4096 ) ), et dernière chose on ne mesure pas le temps avec clock il existe une instruction assembleur pour le mesurer de manière très précise de plus on peut utiliser l'instruction flush pour vider le cache est réessayer au cas ou ça échouerai.

Discussions similaires

  1. Réponses: 12
    Dernier message: 28/07/2014, 09h46
  2. Yahoo aurait diffusé des logiciels malveillants sans le savoir
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 2
    Dernier message: 06/01/2014, 12h55
  3. Réponses: 2
    Dernier message: 04/09/2009, 12h21
  4. Réponses: 10
    Dernier message: 30/08/2009, 21h18
  5. Snow Leopard vous protège des logiciels malveillants (malwares)
    Par Marcos Ickx dans le forum Actualités
    Réponses: 0
    Dernier message: 28/08/2009, 19h06

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo