Discussion :

[Bill Fassinou]

Les processeurs Cascade Lake d'Intel touchés par une nouvelle attaque, Zombieload v2,
Intel dit avoir déployé une mise à jour pour répondre à cette nouvelle variante de la vulnérabilité Zombieload

Intel a indiqué ce mardi qu’une nouvelle variante de la vulnérabilité Zombieload a été découverte dans les processeurs Cascade Lake et qu’un correctif est en cours de déploiement. Cette nouvelle brèche permet à des pirates de s'emparer de données sensibles stockées dans les puces Intel, comme des mots de passe par exemple. Une fois de plus, Intel sera obligé d’appliquer un patch au microcode (microprogramme du processeur) de son CPU. Il a publié hier des mises à jour du microcode dans le cadre de son Patch Tuesday mensuel, Intel Platform Update (IPU).

En mai, un ensemble de failles de sécurité critiques étroitement liées affectant les processeurs Intel a été publié. Ces failles incluent RIDL (rogue in-flight data load), Fallout, ZombieLoad et Microarchitectural Data Sampling (MDS). Elles ont été découvertes de manière indépendante par Intel et diverses équipes de recherche, notamment le département d’informatique de l’université de Vrije aux Pays-Bas (VU d’Amsterdam), le Worcester Polytechnic Institute, l’université du Michigan, l’Université de technologie de Graz, la KU Leuven en Belgique, Cyberus, Oracle…

Intel utilise le terme « Microarchitect Data Sampling (MDS) » pour désigner ce nouvel ensemble de failles. L’entreprise a été pour la première fois informée de l’existence de cet ensemble de vulnérabilités en juin 2018. Selon la firme de Santa Clara, les nouvelles générations de processeurs sont mieux protégées contre les vulnérabilités de cet acabit. Seulement, il semble qu’Intel a parlé trop tôt. La vulnérabilité Zombieload divulguée en mai cette année a une deuxième variante qui fonctionne également contre les processeurs Intel plus récents.

En effet, ZombieLoad est une vulnérabilité matérielle qui permet à un programme non autorisé d’accéder à des données traitées par le processeur. Des pirates informatiques expérimentés peuvent ainsi en extraire des informations sensibles. Les chercheurs en sécurité sont notamment parvenus à récupérer les mots de passe et à espionner les sites Internet visités en temps réel par les utilisateurs. En revanche, ils ne savent pas si cette faille a été exploitée par des hackers. Elle n’affecte pas seulement les puces Intel plus anciennes, mais également les plus récentes.

Ces processeurs comprennent également les puces Cascade Lake, la dernière gamme de processeurs haut de gamme d'Intel, initialement pensé pour avoir été non affecté. Ainsi, hier, à l’occasion du Patch Tuesday, Intel a publié des correctifs du microcode pour répondre à cette nouvelle variante d'attaque Zombieload qu’ils appellent Zombieload v2 et classé comme une vulnérabilité CVE (CVE-2019-11135). Elle permet aux pirates avec un accès physique de siphonner les données sensibles d’un terminal grâce au système de prédiction des commandes d’un processeur.

« CVE-2019-11135 est étroitement lié à l'échantillonnage de données microarchitecturales que nous avons abordé en mai dernier. L'abandon asynchrone, ou TAA, de Transactional Synchronization Extensions (TSX), ou TAA, a un score CVSS moyen de 6,5. Cette situation a été signalée à l'externe et n'affecte que les processeurs qui prennent en charge la TSX », a déclaré Intel hier dans un article publié sur son blogue. L’entreprise a assuré que la faille se situe dans le TAA (Transactional Synchronization Extensions Asynchronous Abort).

En réaction, il a déployé un correctif qui désactive tout simplement le TSX lorsqu’il n’est pas utilisé. « L'atténuation de l'AVA permet d'éliminer les données obsolètes des structures microarchitecturales à l’aide d'une instruction VERW sur les CPU qui ont déjà des mesures d'atténuation matérielles pour les SDM. Il fournit aussi au logiciel système les moyens de désactiver la TSX pour les clients qui n'utilisent pas cette fonctionnalité », a-t-il déclaré. Toutefois, la firme admet que ce correctif pourrait ne pas suffire pour protéger les terminaux équipés d’un SoC Cascade Lake.

« Nous croyons que les mesures d'atténuation du TAA et du MDS réduisent considérablement la surface d'attaque potentielle. Peu de temps avant cette divulgation, cependant, nous avons confirmé la possibilité qu'une certaine quantité de données puisse encore être déduite par un canal latéral à l'aide de ces techniques (pour le TAA, seulement si la TSX est activée) et nous en traiterons dans les futures mises à jour des microcodes », a expliqué Intel dans son billet du mardi. Ce correctif marche également pour d’autres vulnérabilités.

« Le principal avantage de cette approche est qu'elle fonctionne également sur des machines avec des corrections matérielles pour Meltdown, que nous avons vérifiées sur un i9-9900K et Xeon Gold 5218 », a déclaré l’équipe de recherche dans la version révisée de son livre blanc. La seule condition pour une attaque Zombieload v2 est que le processeur ciblé supporte l'extension de jeu d'instructions Intel TSX, qui, selon l'équipe de recherche, est disponible par défaut dans tous les CPU Intel vendus depuis 2013.

La première série de processeurs Intel à avoir pris en charge la TSX a été la plateforme Haswell. Tout ce qui est arrivé après est affecté. Cascade Lake d'Intel, que la société a lancé en avril de cette année, était censé être le premier produit de la société qui comportait des protections contre les attaques par canal latéral et d'exécution spéculative au niveau matériel. Cela dit, la société a indiqué que la vulnérabilité de Zombieload v2, qu'elle suit comme une attaque TAA dans sa propre documentation, n'est pas aussi dangereuse qu'elle le semble.

En effet, alors que toutes les attaques MDS peuvent permettre aux attaquants d'exécuter du code malveillant contre un processeur Intel, les attaquants ne peuvent pas contrôler quelles données ils peuvent cibler et extraire. Les attaques MDS, bien que très possibles, sont inefficaces par rapport à d'autres moyens de voler les données d'une cible, une opinion que d'autres experts en sécurité ont également exprimée dans le passé. Cependant, cette remarque ne signifie pas que la vulnérabilité doit être ignorée pour autant par Intel.

L'application de ces mises à jour de microcodes devrait être une priorité pour tous ceux qui gèrent des infrastructures critiques ou des centres de données en nuage. Dans le cas où les utilisateurs ne voudront pas appliquer les correctifs publiés pour ne pas faire face à une baisse de performance potentielle liée à un nouveau patch pour les attaques d'exécution spéculative, Intel recommande également de désactiver le support TSX du CPU, s’il n’est utilisé. L'équipe de recherche présentera ses conclusions révisées lors de la conférence ACM CCS à Londres.

Sources : Intel, Zombieload

Et vous ?

Qu'en pensez-vous ?

Voir aussi

MDS : de nouveaux exploits liés à l'exécution spéculative qui affectent les CPU Intel jusqu'à Kaby Lake et exposent les données des mémoires tampon

Spectre/Meltdown : de nouvelles failles dans les processeurs, elles permettent de lire les registres internes, la mémoire kernel et celle de l'hôte

PortSmash : une nouvelle faille critique qui affecte les CPU Intel exploitant l'Hyperthreading ou le SMT. Des CPU AMD pourraient aussi être touchés

[Invité]

Qu'en pensez-vous ?

A chaque bug/faille un patch qui fait perdre de la puissance aux CPUs, c'est pas mal, ça fait comme les iphones, plus ça vieillit et plus ça ralenti.

[Christian Olivier]

Intel désactive la fonctionnalité Hardware Lock Elision (HLE) sur tous ses CPU x86 à cause de Zombieload v2
Et recommande en plus de désactiver RTM pour les environnements virtualisés

Depuis 2018, plusieurs vulnérabilités affectant les processeurs d’Intel ont été dévoilées. Il a même été démontré que certaines d’entre elles existent depuis près de deux décennies. Ces exploits tirent parti de certains mécanismes d’optimisations implémentés dans les processeurs x86, notamment celui dit de l’exécution spéculative. Les plus connues sont probablement : BranchScope, PortSmash, Meltdown/Spectre, TLBleed et Foreshadow. Ils permettraient à un attaquant d’avoir accès et de détourner différents types de données (mot de passe, historique de navigation d’un navigateur Web, clé cryptographique…) sur un système sans être détecté par les outils de sécurité traditionnels. Les processeurs produits par Intel sont presque toujours les plus sensibles ou les seuls concernés par ces exploits.

Plus tôt cette année, un ensemble de failles de sécurité critiques étroitement liées qui affectent les CPU d’Intel a été publié. Il incluait RIDL (rogue in-flight data load), Microarchitectural Data Sampling (MDS), ZombieLoad et Fallout. La firme de Santa Clara, de son côté, a fait le choix d’utiliser le terme « Microarchitect Data Sampling » (MDS) pour désigner ce nouvel ensemble de failles critiques. Plus récemment, une nouvelle variante de la vulnérabilité Zombieload a été exposée au grand jour et il a été établi que toutes les microarchitectures de processeurs x86 d’Intel depuis 2013 sont vulnérables à ce nouvel exploit portant le nom de code « CVE-2019-11135 » ou « Zombieload v2 » ou faille TAA. Cette nouvelle variante porte à cinq le nombre de vulnérabilités incluses dans la famille MDS telle que définie par Intel. Malheureusement, il n’existe à l’heure actuelle aucune protection matérielle implémentée directement au niveau des processeurs x86 du fondeur américain qui permettrait de se prémunir contre Zombieload v2.

Alors que Cascade Lake, la dernière microarchitecture CPU x86 d’Intel ciblant le marché du HEDT, est censée être immunisée contre Zombieload V1, il a été rapporté que cette microarchitecture CPU est toujours sensible à « Zombieload v2 ». De ce fait, CVE-2019-11135 peut compromettre la sécurité de toutes les plateformes basées sur Cascade Lake qui n’ont pas reçu les patchs de sécurité récemment publiés par la firme de Santa Clara. Ces patchs de sécurité ciblent le logiciel embarqué ou microcode des cartes mères prenant en charge les processeurs Cascade Lake et devraient être distribués par les fabricants de ces cartes sous forme de mises à jour du BIOS. Signalons au passage que les puces x86 d’AMD, notamment celles dérivant de l’architecture Zen, sont intrinsèquement immunisées contre Zombieload v2.

La stratégie d'Intel vis-à-vis de Zombieload v2

Zombieload v2 affecte tous les processeurs d’Intel supportant le jeu d’instruction TSX (Transactional Synchronization Extensions), soit toutes les puces depuis la génération Haswell. La technologie Intel TSX est une extension du jeu d’instructions de l’architecture x86 qui ajoute la prise en charge de la mémoire transactionnelle matérielle afin d’améliorer les performances des logiciels multithreadés. Elle a deux sous-fonctionnalités : Restricted Transactional Memory (RTM) et Hardware Lock Elision (HLE). Selon Intel, le CVSS (Common Vulnerability Scoring System) de cette nouvelle faille est de 6,5.

L’entreprise propose deux procédures d’atténuation du TAA (TSX Asynchronous Abort). L’une se traduit par l’ajout du Model Specific Register (MSR) IA32_TSX_CTRL qui permet de désactiver RTM seul ou RTM et HLE en même temps. L’autre est basée sur les anciennes solutions de mitigations de MDS et permet de supprimer les données périmées présentes au niveau du CPU par le biais d’une instruction VERW qui efface tous les tampons de la puce. Il semble, par ailleurs, que l’application du nouveau patch de sécurité d’Intel « désactive inconditionnellement » la fonctionnalité HLE des CPU cibles qui reste malgré tout listée comme une fonctionnalité présente. Intel recommande non seulement la désactivation de HLE, mais aussi celle de RTM pour les environnements virtualisés.

Comme l'a récemment souligné un développeur du noyau Linux, il faut rappeler qu'à cause des failles matérielles qui affectent les processeurs Intel et des différentes solutions de mitigation publiées par la firme de Santa Clara, il est recommandé aux utilisateurs, professionnels et entreprises soucieux de la sécurité de leurs données de désactiver la technologie Hyperthreading sur leurs systèmes basés sur des processeurs Intel. Par ailleurs, ils doivent tous s'attendre à une réduction des performances - de l'ordre de 20 % environ (jusqu'à 40 % dans certains cas) - sur les systèmes basés sur les processeurs Intel sensibles à ces différents exploits. La découverte de nouvelles vulnérabilités matérielles comme Zombieload v2 et la publication de nouvelles mesures d'atténuation ne fera probablement qu'aggraver ces désagréments.

Source : Intel, Linux Kernel

Et vous ?

Qu’en pensez-vous ?

Voir aussi

MDS : de nouveaux exploits liés à l'exécution spéculative qui affectent les CPU Intel jusqu'à Kaby Lake et exposent les données des mémoires tampon
Spectre/Meltdown : de nouvelles failles dans les processeurs, elles permettent de lire les registres internes, la mémoire kernel et celle de l'hôte
PortSmash : une nouvelle faille critique qui affecte les CPU Intel exploitant l'Hyperthreading ou le SMT. Des CPU AMD pourraient aussi être touchés

[Christian Olivier]

Windows et Linux présentent les options permettant de désactiver la technologie Intel TSX sur leurs plateformes
Afin de faire face à la vulnérabilité Zombieload v2

Récemment, une nouvelle variante de la vulnérabilité Zombieload a été exposée au grand jour et il a été établi que toutes les microarchitectures de processeurs x86 d’Intel depuis 2013 sont vulnérables à ce nouvel exploit portant le nom de code « CVE-2019-11135 » ou « Zombieload v2 » ou faille TAA. Cette nouvelle variante porte à cinq le nombre de vulnérabilités incluses dans la famille MDS telle que définie par Intel. Malheureusement, il n’existe à l’heure actuelle aucune protection matérielle implémentée directement au niveau des processeurs x86 du fondeur américain qui permettrait de se prémunir contre Zombieload v2. Selon Intel, le CVSS (Common Vulnerability Scoring System) de cette nouvelle faille est de 6,5.

Zombieload v2 affecte tous les processeurs d’Intel supportant le jeu d’instruction TSX (Transactional Synchronization Extensions), soit toutes les puces depuis la génération Haswell, jusqu’à la génération récente Cascade Lake. La technologie TSX développée par Intel se présente comme une extension du jeu d’instructions de l’architecture x86 qui ajoute la prise en charge de la mémoire transactionnelle matérielle afin d’améliorer les performances des logiciels multithreadés. Cette technologie a deux sous-fonctionnalités : Restricted Transactional Memory (RTM) et Hardware Lock Elision (HLE). TSX est notamment mis à contribution dans les environnements SQL hautement parallélisés pour empêcher les différents cœurs d’un CPU de se bloquer mutuellement.

La stratégie d’Intel vis-à-vis de Zombieload v2

Intel a publié un patch de sécurité qui cible le logiciel embarqué ou microcode des cartes mères qui prennent en charge les processeurs affectés, y compris ceux de la génération Cascade Lake. Il devrait être distribué par les fabricants de cartes sous forme de mises à jour BIOS. Les plateformes Windows et Linux basées sur des CPU Intel sensibles sont toutes concernées par ce patch de sécurité. Signalons au passage que les processeurs x86 d’AMD, notamment ceux qui dérivent de l’architecture Zen / Zen+ / Zen2, sont intrinsèquement immunisés contre Zombieload v2. Il en serait de même pour les CPU IBM Power9v2. Selon l’avis de sécurité officiel d’Intel, les CPU suivants sont concernés :

Les recommandations de Microsoft

Les équipes de Microsoft et les développeurs du noyau Linux ont ajouté ou fait par des solutions qui permettent de désactiver la prise en charge de TSX. La firme de Redmond a publié sur son site un avis sur la façon dont les administrateurs système peuvent désactiver (1) ou réactiver (2) la fonctionnalité TSX en utilisant des clés de registre comme suit :
(1)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
reg add
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel" /v DisableTsx /t REG_DWORD /d 1 /f

(2)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
reg add
 « HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel » /v DisableTsx /t REG_DWORD /d 0 /f

Des informations plus précises pour Linux

Sur les systèmes Linux où les administrateurs ont appliqué les mises à jour de microcode d’Intel, deux options d’atténuation du TAA (TSX Asynchronous Abort) existent. La première se traduit par l’ajout du Model Specific Register (MSR) IA32_TSX_CTRL qui permet de désactiver RTM seul ou RTM et HLE en même temps. La seconde qui est basée sur les anciennes solutions de mitigation de MDS permet de supprimer les données périmées présentes au niveau du CPU par le biais d’une instruction VERW qui efface tous les tampons de la puce. Il semble dans ce dernier cas que l’application des nouvelles mesures de mitigation d’Intel « désactive inconditionnellement » la fonctionnalité HLE des CPU cibles sur les plateformes Linux. Par ailleurs, Intel recommande la désactivation de HLE, mais aussi celle de RTM pour les environnements virtualisés.

L'impact sur les performances des systèmes touchés

Comme l’a récemment souligné un développeur du noyau Linux, il faut rappeler qu’à cause des failles matérielles qui affectent les processeurs Intel et des différentes solutions de mitigation publiées par la firme de Santa Clara, il est recommandé aux utilisateurs, professionnels et entreprises soucieux de la sécurité de leurs données de désactiver la technologie Hyperthreading sur leurs systèmes basés sur des processeurs Intel. Par ailleurs, ils doivent tous s’attendre à une réduction des performances — de l’ordre de 20 % environ (jusqu’à 40 % dans certains cas) — sur les systèmes basés sur les CPU Intel sensibles à ces différents exploits. La découverte de nouvelles vulnérabilités matérielles comme Zombieload v2 et la publication de nouvelles mesures d’atténuation ne fera probablement qu’aggraver ces désagréments.

Source : Microsoft, Linux, Intel

Et vous ?

Qu’en pensez-vous ?

Voir aussi

MDS : de nouveaux exploits liés à l'exécution spéculative qui affectent les CPU Intel jusqu'à Kaby Lake et exposent les données des mémoires tampon
Spectre/Meltdown : de nouvelles failles dans les processeurs, elles permettent de lire les registres internes, la mémoire kernel et celle de l'hôte
PortSmash : une nouvelle faille critique qui affecte les CPU Intel exploitant l'Hyperthreading ou le SMT. Des CPU AMD pourraient aussi être touchés
Un développeur du noyau Linux rappelle qu'à cause des failles matérielles qui affectent les CPU Intel il faut désactiver l'hyperthreading et s'attendre à une réduction des performances de 20 %

[Fleur en plastique]

Raz le bol de toutes ces failles sur les CPUs Intel

Une chose est sûre : mon prochain CPU sera un AMD.

[Aiekick]

du coup avec cette perte de performance, il seront au niveau des puces AMD.. perso je reste sur intel, pour la compilation ya pas mieux

[jvallois]

perso je reste sur intel, pour la compilation ya pas mieux

Petite question d’un néophyte : Pourquoi c’est mieux, la compilation sur Intel ?

[Aiekick]

la rapidité

[luciole75w]

La firme de Redmond a publié sur son site un avis sur la façon dont les administrateurs système peuvent désactiver (1) ou réactiver (2) la fonctionnalité TSX en utilisant des clés de registre comme suit :
(1)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
reg add
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Control\Session Manager\Kernel" /v DisableTsx /t REG_DWORD /d 1 /f

(2)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
reg add
 « HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Control\Session Manager\Kernel » /v DisableTsx /t REG_DWORD /d 0 /f

...
Source : Microsoft, Linux, Intel

Merci pour l'info.

Il y a une erreur dans le chemin de la clé (un "\Control" en trop). La commande donnée par microsoft pour déactiver TSX est :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel" /v DisableTsx /t REG_DWORD /d 1 /f

[Sarénya]

du coup avec cette perte de performance, il seront au niveau des puces AMD.. perso je reste sur intel, pour la compilation ya pas mieux

à par si tu parle du compilateur intel, c'est complètement faux : http://www.comptoir-hardware.com/art...2.html?start=9

[Steinvikel]

Certains logiciels tirent parti de la fréquence max du CPU, d'autres, du nombre max de coeurs physiques (SMT/HT compris) ...et certains semble plutôt "équilibrés" entre ces deux cas.

Est-il vraiment pertinent de dire que tel ou tel fabricant fabrique de meilleurs produits que son concurrent, alors qu'outre le type de logiciel que l'on souhaite faire tourner dessus, c'est l'implémentation exacte du logiciel qui va, en finalité, dicter si tel ou tel produit est plus approprié pour afficher les meilleurs performances.
La preuve en est faite régulièrement par les bench faussés à coups d'optimisations pour des "contextes" volontairement favorables. Que se soit par du matos équipé de BIOS "presse", ou des démos qui font tourner des scènes s'appuyant fortement sur la solution à mettre en avant pour dire que "ma solution générique est meilleur !".

Réveillez-vous, faite la paix, et partagez vos connaissances... expliquez-vous !

[chrtophe]

Petite question d’un néophyte : Pourquoi c’est mieux, la compilation sur Intel ?

Ce n'est ni mieux ni moins bien.

Il peut y avoir des différences de perfs, mais il faut avant tout comparer ce qui est comparable, comparer à fréquence équivalente, taille de cache équivalent nombre de cœurs équivalents, type et quantité de RAM équivalente. Et vu le nombre de produits, c’est pas évident de faire une comparaison juste et objective, surtout qu'il faut aussi prendre en compte les perfs des chipsets.

Après si tu utilises le compilateur Intel avec un CPU Intel, tu auras probablement de meilleures perfs qu'avec un AMD supporté par ce même compilateur.

Tout comme tu pourras avoir une différence d'efficacité entre une compilation sous Windows et une sous Linux, mais il sera objectivement difficile d'impliquer ses différences au compilateur plutôt qu'à l'OS.

[Aiekick]

je ne vais pas jusque la, mais j'ai testé des proc amd et intel équivalent en cache et nombre de coeur. et que ce soit avec le compiler visual studio, mingw32, ou clang, dans tous les cas le compil plus vite avec intel. apres bon c'est mon avis, vous faites ce que vous voulez.