Les éditeurs de systèmes d’exploitation corrigent une vulnérabilité kernel
Due à une mauvaise implémentation d’un mécanisme de débogage pour les x86

L’information est des chercheurs en sécurité Nick Peterson d'Everdox Tech et Nemanja Mulasmajic de Triplefault. Windows, Linux, macOS et des systèmes de virtualisation (Xen, VMWare, etc.) sont affectés par une vulnérabilité kernel due à une mauvaise mise en œuvre d’un mécanisme de débogage pour les architectures x86 et x86_64.

Au centre de la note d’information, l’utilisation des instructions MOV SS et POP SS en tandem avec des interruptions ou des appels système. Dans leur papier, les chercheurs expliquent qu’Intel a prévu que l’usage de MOV SS ou POP SS dans un programme inhibe les interruptions (même non masquables) et les exceptions. Les éditeurs de systèmes d’exploitation et d’outils de virtualisation ont basé l’implémentation des gestionnaires d’interruptions (et d’exceptions) uniquement sur ce fait en omettant la partie de la documentation Intel qui précise que les exceptions de débogage ne sont pas inhibées par le drapeau système EFLAGS.IF positionné en conséquence.

Résultat des courses, un processeur x86 (x86_64) peut générer une exception lorsqu’il voit une instruction MOV SS (ou POP SS) suivie d’une interruption ou d’un appel système. Un attaquant peut s’appuyer sur cet état de choses pour avoir accès à des processus du noyau, ce, en s’appuyant sur le gestionnaire d’exceptions. D’ailleurs, sur la ressource en ligne spécialisée seclists.org, le chercheur en sécurité Andy Lutomirski précise que l’exception est générée après un passage en mode noyau.

Nom : merge_from_ofoct.jpg
Affichages : 5368
Taille : 95,5 Ko

« L’exploitation de la faille peut permettre à un attaquant non authentifié d’accéder à des zones mémoire sensibles ou contrôler des fonctionnalités de bas niveau du système d’exploitation », précise le CERT (centre de veille, d'alerte et de réponse aux attaques informatiques).

Les éditeurs de système d’exploitation ont, pour la plupart, été notifiés le 30 avril 2018 à propos de cette vulnérabilité. Des correctifs pour la faille référencée CVE-2018-8897 sont disponibles pour Windows, Linux, macOS et les systèmes de virtualisation mentionnés depuis le début de ce mois. Le code permettant de tester si un système est vulnérable est disponible sur GitHub.

Sources : everdox, seclists.org, cert, GitHub

Et vous ?

Qu’en pensez-vous ?

Avez-vous déjà procédé à la mise à jour de vos systèmes ?

Vous est-il déjà arrivé de faire mauvais usage d'une documentation développeur ? Si oui, qu'est-ce qui en a été la cause ? Rapportez vos anecdotes

Voir aussi :

De nombreuses distributions Linux affectées par une vulnérabilité dans le système init systemd permettant l'exécution de code à distance

Stack Clash : les systèmes Linux et BSD affectés par une vulnérabilité de dépassement de pile mémoire permettant une élévation de privilèges

Linux et Unix affectés par une faille critique dans Bash, la vulnérabilité pourrait constituer une plus grande menace que Heartbleed

Windows : une faille zero-day supposée affecter toutes les versions de l'OS, de Windows 2000 à Windows 10 est en vente à 90 000 dollars US