Discussion :

[Patrick Ruiz]

Meltdown et Spectre : des prototypes de logiciels malveillants en circulation
Plus d’une centaine dans le compteur des firmes de sécurité

Google a procédé à la publication des détails relatifs aux failles Meltdown et Spectre le 3 janvier dernier. La firme de Mountain View a, dans le même temps, publié des preuves de concept (PoC) qui ont d’ailleurs été transmises aux industriels en juin 2017. D’après des rapports des firmes de sécurité AV-TEST et Fortinet, l’expérimentation avec ces PoC bat son plein.

Si aucune victime n’est à déplorer à ce jour, il faut souligner que d’après des informations tirées de la base de données virale d’AV-TEST, 119 programmes uniques exploitant ces failles sont apparus entre le 7 et le 22 janvier. Il n’est donc pas difficile de faire l’hypothèse selon laquelle à date le nombre de tels logiciels est plus important.

Pas de panique pour le moment puisque d’après Fortinet, les échantillons analysés sont tous basés sur les preuves de concept mises à la disposition du public par Google. Il s’agirait donc plutôt de logiciels de démonstration qui exploitent lesdites failles, mais ne causent pas encore de dégâts. Le mystère demeure quant à savoir qui est derrière les logiciels détectés. On peut toutefois penser que ces derniers émanent de chercheurs en sécurité dans le cadre de leur travail ou de cybercriminels qui cherchent à transformer les vulnérabilités en armes.

Microsoft a récemment publié une mise à jour de désactivation des correctifs (proposés par Intel) de la vulnérabilité Spectre , preuve que le degré de complexité de ces failles, particulièrement celui de la variante 2 de Spectre, est considérable. Elles ne devraient donc pas intéresser le premier venu d’autant plus que le vecteur d’exploitation le plus évident (JavaScript) est neutralisé. Microsoft a, par le biais de Windows Update, déployé la mise à jour KB4056890 pour les utilisateurs du navigateur Edge au sein de la Fall Creators Update en date du 3 janvier. Pour ce qui est de Mozilla, une version mise à jour de Firefox Quantum (la 57.0.4) est désormais disponible. Quant à Google Chrome, la version 64 disponible depuis le 23 janvier, intègre les protections nécessaires. On voit donc beaucoup plus de groupes de cybercriminels financés par des États s’intéresser à ces vulnérabilités.

Toutefois, des projets publiés sur GitHub permettent de se rendre compte du potentiel destructeur que les cybercriminels capables de transformer ces vulnérabilités en armes auront sous la main. Meltdown exploite une faille processeur et permet à un attaquant d’exfiltrer des informations de la mémoire du noyau du système d’exploitation. Un contributeur a publié une vidéo de reconstruction d’image de chat à partir de données récupérées dans la mémoire, ce, en exploitant la PoC de cette faille.

Ce n’est donc peut-être qu’une question de temps avant que les victimes se comptent en nombre comme dans le cas de WannaCry. Il conviendrait donc déjà de prendre les mesures qui s’imposent. Microsoft a publié un outil de diagnostic pour faire l’état de ses protections sous Windows. Des outils similaires existent sous Linux. L’application des correctifs publiés par les éditeurs de systèmes d’exploitation dès le 3 janvier devrait suffire à se prémunir contre les attaques exploitant Meltdown. Pour ce qui est de Spectre, il faudra peut-être se tourner vers Google qui, semble-t-il, propose la meilleure solution.

Sources

Google +
Fortinet

Votre opinion

Combien de temps d’après vous faudra-t-il encore attendre avant que des armes exploitant ces failles n'émergent ?

Voir aussi

Windows : vous n'avez pas reçu les mises à jour de sécurité contre la vulnérabilité Meltdown ? Microsoft donne des explications
Vulnérabilités Meltdown et Spectre : Intel devrait livrer ses premiers processeurs dotés de protections intégrées plus tard cette année

[marsupial]

D'après moi, au doigt mouillé, en se basant sur Eternal Blue qui a pris 2 mois avant WannaCry, je dirai les tout premiers avant la fin de l'hiver mais plus sûrement au printemps. Ce serait surprenant de leur part, mais ils pourraient très bien ne pas l'exploiter si les microcodes sont de sortie sous 30 jours.

De plus, je perçois ces failles utilisées essentiellement pour de l'espionnage industriel ou du sabotage. Donc plus par des états. Et 149 PoC à la date d'hier, cela veut dire que beaucoup de monde s'y intéresse de près. D'ailleurs, je me demande ce que le DoD ou notre ministère des Armées en pense.

Conclusion : planquez vos données. Et prévoyez un plan d'urgence en cas de défaillance. Car pour l'instant les SI se trouvent sous une épée de Damoclès placées juste au dessus de leur tête et à chaque jour qui passe, elle s'abaisse lentement mais sûrement.

[Kannagi]

D'un coté en étudiant très prés ces failles elle sont faciles a faire donc normal que il y'a beaucoup de PoC et je suis étonné qu'aucun cybercriminel ne l'ai utilisé depuis la découverte de la faille :p

Pour ceux qui doute que ces failles sont simple :

La théorie est qu'après une condition (pour être exact un branchement conditionnel) , le processeur va choisir de l’exécuter ou pas , s'il choisi de l’exécuter il va "prendre de l'avance" en exécutant la suite.
exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
if( x < y)
     mavar = *addrkernelWindows;

Donc théoriquement il va exécuter 'mavar = *addrkernelWindows;' , même si la condition est fausse.
Le truc c'est qu'il ne l’exécute pas réellement , mais pour optimiser il va laisser dans la mémoire cache une trace de *addrkernelWindows.
Mais techniquement ce code est inutilisable parce que on ne peut pas lire le cache directement (cet exemple est juste pour dire que oui le CPU fait un truc complètement interdit , lire le kernel ou une quelconque adresse arbitraire).

Admettons que je fasse cela:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
if( x < y)
     mavar = buffer[*addrkernelWindows]; // et que *addrkernelWindows soit un type char *

Ben mon buffer a était écrit sur le cache , donc on va faire une boucle sur les 256 éléments de mon buffer et on va regarder celui qui a un accès rapide , admettons que tous font environ 100 cycle et que j'ai l’accès a mon buffer[57] a 30 cycles , ben la valeur de *addrkernelWindows fait 57 , vu que l’exécution spéculative a mis mon buffer[57] dans le cache.

Voila la faille MeltDown et Spectre (la différence de ce que j'ai lu est seulement l’accès au donné , impossible de lire le Kernel sur les proc autre qu' intel).

NT : trompé l’exécution spéculative est loin d’être trivial , pour le buffer pour diverse raison lié au cache il va avoir un décalage pour pouvoir mesurer de manière précise le buffer (un *4096 ) ), et dernière chose on ne mesure pas le temps avec clock il existe une instruction assembleur pour le mesurer de manière très précise de plus on peut utiliser l'instruction flush pour vider le cache est réessayer au cas ou ça échouerai.