Discussion :

[Christian Olivier]

Tous les CPU commercialisés par Intel ces 5 dernières années sont exposés à une faille critique irrémédiable
Permettant à un attaquant de déjouer l’ensemble des dispositifs de sécurité intégrés à la puce

C’est déjà presque une habitude ! Alors qu’Intel continue de publier des correctifs pour atténuer les risques liés aux nombreux exploits connus affectant ses processeurs, les résultats d’une recherche publiés récemment ont montré qu’à l’exception de ses nouveaux CPU de la dixième génération, tous les processeurs commercialisés par la firme de Santa Clara au cours des cinq dernières années sont exposés à une nouvelle faille de sécurité critique irrémédiable. Celle-ci permettrait à un attaquant de déjouer l’ensemble des dispositifs de sécurité intégrés au silicium. Le nouvel exploit cible de manière spécifique les plateformes équipées de CPU x86 Intel de la génération Haswell à Coffee Lake Refresh. Il ne peut pas être corrigé par une simple mise à jour du microprogramme ou micrologiciel et porte le nom de code CVE-2019-0090.

Découverte par Positive Technologies, la nouvelle vulnérabilité réside dans la mémoire morte (ROM) du Converged Security and Management Engine (CSME) d’Intel qui est un sous-système à l’intérieur des puces (processeurs et SoCs) conçues par la marque. Ce module dédié à la sécurité de l’ensemble de la puce a accès à l’ensemble du débit de données. Malheureusement, c’est également une boîte noire, étant donné qu’Intel protège sa documentation pour empêcher la copie ou l’analyse de sa technologie par des tiers non autorisés.

L’implémentation du module CSME est intimement liée au fonctionnement de la technologie Trusted Platform Module (TPM) d’Intel utilisée pour le chiffrement sur le silicium ainsi qu’à l’authentification de l’UEFI BIOS, de Microsoft System Guard, de BitLocker et d’autres fonctionnalités de sécurité. Il est responsable de l'authentification initiale des systèmes basés sur les processeurs Intel puisqu’il charge et vérifie tous les autres microprogrammes de la plateforme, y compris le micrologiciel du contrôleur de gestion de l'alimentation responsable de l'alimentation des composants du chipset Intel.

D’après les chercheurs, le CSME est sujet à un bogue lié à une défaillance de l’unité de gestion de la mémoire d’entrée-sortie – qui empêche toute modification malveillante de la mémoire statique à accès aléatoire – à s’initier suffisamment tôt dans le processus de démarrage du microprogramme. Cette situation crée une fenêtre permettant à un attaquant d’exécuter un code malveillant qui se lance très tôt dans le processus de démarrage avec les plus hauts privilèges du système. Les systèmes dédiés au grand public et aux entreprises sont tous deux vulnérables, mais comme cette dernière catégorie repose davantage sur la sécurité des puces, elle est probablement plus touchée.

Outre le court-circuitage du TPM, un attaquant qui exploite avec succès la faille peut contourner les protections de sécurité fournies par l’Enhanced Privacy ID (EPID) d’Intel (qui fournit des capacités de chiffrement sur la puce) et les protections de gestion des droits numériques pour les données propriétaires. Il pourrait également être possible d’extraire la clé de chiffrement du jeu de puces, qui est identique à chaque génération de jeu de puces. Comme les exploits permettent de modifier les microprogrammes, les attaquants pourraient mener d’autres actions malveillantes.

L’exploitation de cette nouvelle vulnérabilité - en particulier la lecture de la clé du chipset - serait une prouesse technique majeure qui nécessiterait du matériel spécialisé et des années d’expérience avec les microprogrammes. Néanmoins, cette faille constitue une menace sérieuse sur les systèmes non patchés et peut encore être exploitable même sur les ordinateurs qui ont reçu des mises à jour que les fabricants d’ordinateurs ont publiées l’année dernière pour rendre l’exploitation plus difficile.

À ce propos, Yuriy Bulygin, PDG d’Eclypsium, un groupe spécialisé dans la sécurité des micrologiciels, a déclaré dans une interview : « Bien que l’exploitation potentielle de ce problème semble être assez complexe, impliquant une chaîne à plusieurs étapes compromettant l’ISH ou d’autres micrologiciels [et] préparant ensuite une attaque DMA [accès direct à la mémoire] contre le CSME, l’impact est très large, et le problème ne peut pas être résolu par une mise à jour du microprogramme parce qu’il est dans la ROM ».

Suite à leur découverte, les chercheurs de Positive Technologies ont expliqué : « Malheureusement, aucun système de sécurité n’est parfait. Comme toutes les architectures de sécurité, celle d’Intel avait une faiblesse : la ROM de démarrage, dans ce cas. Une vulnérabilité précoce dans la ROM permet de contrôler la lecture de la clé du chipset et de générer toutes les autres clés de chiffrement. L’une de ces clés est celle de l’Integrity Control Value Blob (ICVB). Avec cette clé, les attaquants peuvent falsifier le code de n’importe quel micrologiciel du module CSME d’Intel et rendre tout cela indétectable lors des contrôles d’authenticité. Cela équivaut fonctionnellement à une violation de la clé privée pour la signature numérique du microprogramme CSME d’Intel, mais limitée à une plateforme spécifique ».

Positive Technologies a également averti que la nouvelle vulnérabilité peut ne pas être entièrement atténuée par des mises à jour. Selon Mark Ermolov, spécialiste principal de la sécurité des systèmes d’exploitation et du matériel de la société Positive Technologies, « cette vulnérabilité met en péril tout ce qu’Intel a fait pour établir la confiance et jeter les bases d’une sécurité solide sur les plateformes de la société », « elle détruit la chaîne de confiance pour l’ensemble de la plateforme ».

Intel de son côté a remercié les chercheurs, mais continue de suggérer que cette énième faille de sécurité critique affectant ses processeurs x86 n’est exploitable que dans le cas où les attaquants sont en possession d’une machine vulnérable, c’est-à-dire - comme le souligne la société - dans le cadre d’attaques physiques où les attaquants seraient en possession d’un ordinateur potentiellement vulnérable n’ayant pas reçu les mises au jour et autres patchs d’atténuation ciblant le CSME et le BIOS.

« Intel a été notifiée d’une vulnérabilité affectant potentiellement le moteur de gestion de la sécurité convergent d’Intel, dans lequel un utilisateur non autorisé avec un matériel spécialisé et un accès physique peut être en mesure d’exécuter un code arbitraire dans le sous-système CSME d’Intel sur certains produits Intel », ont expliqué des responsables de la société dans une déclaration ajoutant : « Intel a publié des atténuations et recommande de maintenir les systèmes à jour ».


Source : Intel 1, Intel 2, Positive Technologies

Et vous ?

Qu’en pensez-vous ?

Voir aussi

Les CPU Intel depuis Skylake sont touchés par Plundervolt, une faille ciblant les mécanismes de l'overclocking, Intel recommande de ne pas toucher aux valeurs par défaut du voltage CPU dans le BIOS
PortSmash : une nouvelle faille critique qui affecte les CPU Intel exploitant l'Hyperthreading ou le SMT, des CPU AMD pourraient aussi être touchés
L'architecture de tous les CPU Intel remise en question après la découverte de SPOILER, une nouvelle faille difficile à corriger par voie logicielle

[MaximeCh]

Bon.
Ceci est dans la classe des attaques "evil maid" - la femme de ménage maligne, ou attaques physiques.
Même si cette cochonceté de ME est complètement pwned, c'est largement moins grave pour le grand public que les attaques par canal auxiliaire sur exécution spéculative (Meltdown, Spectre...) qui elles sont exécutables à distance.
Ca touchera les activistes et lanceurs d'alerte, qui ont depuis des années appris à se méfier des TPM intel de toute façon.

[calvaire]

on tape beaucoup sur Intel pour les failles mais je pense que c'est parce que les chercheurs travail majoritairement dessus.
Mais il serait étonnant que les plateformes AMD x86, Qualcom/Broadcom ARM et IBM PPC n'es pas des failles similaires voir pire.

le probleme de ces failles c 'est que l'europe les subits sans marge de manoeuvre, la chine pourrais par exemple se passer d'intel et utiliser des cpu concue en interne du pays mais en Europe il n'y a aujourd'hui aucune boite pouvant faire des processeurs pour pc (on a 2-3 boites qui font des petites puce embarqué mais loins de pouvoir rivaliser en terme de puissance avec un qualcomm 865 ou un intel atom)

[defZero]

Qu’en pensez-vous ?

Que forcement en complexifiant et en intégrants de plus en plus de choses aux CPU, ça "doit" arriver.
Plus les features offerte par un unique bloc sont importante et plus la marge d'erreur et donc d'attaque grandi.
Ça me parait logique et pas trop déconnant comme raisonnement.

Maintenant la vrai question serait, pourquoi Intel tient tant que ça à verrouiller sa plateforme ?
Non, parce que ce qui bug chez Intel est lié à l'idée qu'Intel se fait de la sécurité, mais il y a des moyens empiriques bien plus surs et éprouvés pour fournir une sécurité béton, alias le "switch physique" sur CM.
Certes, ça n'oblige pas les partenaires à ce fournir chez Intel et ce ne serait pas privateur pour l'utilisateur , mais ça fonctionne à coup sûr.

[wistiti1234]

C'est peu critique pour le quidam moyen, par contre ça l'est beaucoup plus pour les piliers d'internet, routeurs, dns, fournisseurs de certificats, etc ... et tous les centres de données, avec l'explosion du cloud... ils passe souvent la serpillières dans leur batiments?

le probleme de ces failles c 'est que l'europe les subits sans marge de manoeuvre, la chine pourrais par exemple se passer d'intel et utiliser des cpu concue en interne du pays mais en Europe il n'y a aujourd'hui aucune boite pouvant faire des processeurs pour pc (on a 2-3 boites qui font des petites puce embarqué mais loins de pouvoir rivaliser en terme de puissance avec un qualcomm 865 ou un intel atom)

Il y a bien un projet de CPU européen, mais réserver au supercalculateur. Maintenant, s'attaquer au marché des ordinateurs domestique et professionnel, c'est une autre affaire... Peut-être au moins étatique, à terme?
https://hpc.developpez.com/actu/2681...sseur-en-2021/
https://www.lesnumeriques.com/cpu-pr...s-n146747.html

[nirgal76]

On a surement plus de chance de se faire mordre par une chauve souris enragée que d'être piraté par ce truc.

[oyarsa]

Si cela pouvait inciter Intel à renoncer à ce foutu Management Engine! Mais il ne faut pas rêver. Je travaille depuis quinze ans sur le BIOS de serveurs à base de processeurs Intel Xeon. Dès que je l'ai vu arrivé, j'ai détesté ce machin inutile qui vient ajouter un firmware opaque à la machine, source de bugs sans fin ( je fais des bugs dans mon BIOS très bien tout seul, je n'ai pas besoin d'un autre, monsieur Intel, merci).

Avant le règne du ME, la séquence de mise sous/hors tension et de reset de la machine était piloté par le hardware, un petit CPLD par exemple. C'était simple et sans risque. Et puis Intel arrive avec ses gros sabots et décrète qu'il faut un processeur supplémentaire avec un firmware complexe et secret pour faire la même chose. Ah bon?? Et pour notre sécurité bien sûr. Quand je pense qu'un jour un ingénieur Intel m'a sorti en conférence audio "nous ne voulons pas faire de la sécurité par obscurité" ( on parlait d'un autre sujet que le ME ). Je me suis retenu de lui répondre "Ah oui? alors vous allez publier le source du firmware du ME?". Le pire c'est que le champ d'action du ME ne cesse de croître, il peut maintenant émuler un chip TPM 2.0 complet en software, soi-disant pour économiser le coût d'une puce TPM discrète. La bonne idée! Vous avez envie de confier vos clés de chiffrement à un bout de software opaque, vous. Inutile de dire qu'aucune des boites qui achètent nos serveurs ne nous a demandé d'activer cette fonctionnalité.

Bon, tout ça ne concerne guère le grand public, c'est surtout dans les serveurs que le ME déploie sa pleine nuisan.., euh, puissance pardon. Mais c'est mon pain quotidien. Il y a trop de monde avec trop d'idées chez Intel. Arrêtez de produire des gadgets sécuritaires impossibles à auditer!

[MaximeCh]

...

Si tu travailles sur les séquences d'amorçage, les serveurs intel, tu as du entendre parler ou déployer du linuxboot, Trammel Hudson?

[oyarsa]

Si tu travailles sur les séquences d'amorçage, les serveurs intel, tu as du entendre parler ou déployer du linuxboot, Trammel Hudson?

Salut. Oui, j'ai entendu parler de LinuxBoot mais je n'ai jamais eu l'occasion de l'utiliser. L'idée de remplacer la phase DXE du BIOS UEFI par un noyau Linux est intéressante mais comment vendre ça à mes chefs? Quel bénéfice en tirer? Nous achetons un BIOS UEFI à un fournisseur américain ( jamais directement à Intel car il ne vend pas son BIOS, Intel développe son BIOS pour ses cartes de référence et le distribue aux IBVs (Independant BIOS Vendor) qui lui ajoutent leurs gadgets, le revendent aux OEMs qui fabriquent des serveurs, et surtout assurent le support dont Intel ne veut pas se charger directement ). On reçoit un gros tas de sources en C dont la phase PEI, impossible à remplacer par de l'open source car trop spécifique à un modèle de processeur/chipset, et les phases DXE et BDS. Remplacer les phases DXE et BDS par LinuxBoot nous coûterait cher en temps de développement et nous ferait perdre le support de l'IBV, auquel on doit de toute façon acheter un BIOS puisque la phase PEI qui est très bas niveau vient d'Intel et ne pourrait pas être recodée. Au moins on reçoit tous les sources, donc en théorie on peut tout inspecter ( en pratique, bah, pas le temps... ).

Bref, LinuxBoot est techniquement passionnant et j'aimerais bien plonger dans le noyau Linux, mais je ne vois pas mon chef accepter de me payer pour faire ça

Je ne connais pas Trammell Hudson, je vois qu'il est cité sur le site LinuxBoot, j'irai écouter son talk. Je suis sûr qu'il aborde cette question des bénéfices réels de LinuxBoot et comment convaincre son patron de l'utiliser

Merci pour l'info

[TJ1985]

Qu'en est-il chez AMD ? J'envisage de me faire une bécane, je louche sur la gamme Ryzen, en gros j'aurais trois fois la puissance pour le tiers du prix. Aurais-je aussi ce genre de cochonnerie ?