Quels sont les systèmes affectés ?
L'attaque SWAPGS affecte les processeurs Intel les plus récents qui recourent à l'exécution spéculative.
L'attaque SWAPGS affecte les processeurs Intel les plus récents qui recourent à l'exécution spéculative.
Dans leur quête de processeurs toujours plus rapides, les fournisseurs ont mis en œuvre diverses versions d'exécution spéculative. Cette fonctionnalité permet au processeur de faire des suppositions éclairées sur les instructions qui pourraient être nécessaires avant de déterminer si elles le sont vraiment. Cette exécution spéculative peut laisser des traces dans le cache, dont les attaquants peuvent tirer parti pour provoquer une fuite de la mémoire privilégiée du noyau.
Cette attaque tire parti d'une combinaison d'exécution spéculative Intel d'une instruction spécifique (SWAPGS) et de l'utilisation de cette instruction par les systèmes d'exploitation Windows dans ce que l'on appelle un gadget.
Ce qui rend avant-gardiste la recherche relative à ces attaques par rapport à celle portant sur des cyberattaques ciblant des vulnérabilités plus traditionnelles est qu'elle se concentre sur le fonctionnement fondamental des processeurs modernes. Pour mener des investigations efficaces, les équipes de recherche doivent avoir une compréhension approfondie des éléments internes des processeurs (prédiction de branchement, exécution hors ordre, exécution spéculative, pipeline et caches), des éléments internes des systèmes d'exploitation (appels système, gestion des interruptions et des exceptions et KPTI) ainsi que des attaques par canaux auxiliaires et par exécution spéculative.
Les systèmes Windows non corrigés exécutés sur du matériel Intel 64 bits sont vulnérables aux fuites de mémoire sensible du noyau, y compris en mode utilisateur. L'attaque SWAPGS contourne toutes les techniques d'atténuation connues déployées contre de précédentes attaques par canal auxiliaire ciblant des vulnérabilités d'exécution spéculative.
Corriger ces vulnérabilités est extrêmement difficile. Dans la mesure où elles sont profondément ancrées dans la structure et le fonctionnement des processeurs modernes, la suppression complète des vulnérabilités implique soit le remplacement du matériel, soit la désactivation de fonctionnalités qui améliorent grandement les performances. De la même manière, la création de mécanismes d'atténuation est très complexe et peut entraver les gains de performance obtenus grâce aux fonctionnalités d'exécution spéculative. Par exemple, il faudrait une désactivation complète de l'hyper-threading (qui nuirait considérablement aux performances) pour éliminer totalement la possibilité que des attaques par canaux auxiliaires ciblent la fonctionnalité d'exécution spéculative des processeurs Intel.
Depuis la publication de Meltdown et de Spectre, les chercheurs ont examiné la fonctionnalité d'exécution spéculative des processeurs modernes, et plus particulièrement encore, les attaques par canaux auxiliaires ciblant cette fonctionnalité axée sur les performances des processeurs modernes.
Les chercheurs de Bitdefender ont travaillé avec Intel pendant plus d'un an avant la divulgation publique de cette nouvelle attaque. Bitdefender a également collaboré étroitement avec Microsoft, qui a développé et publié un correctif. D'autres fournisseurs de l'écosystème ont également été impliqués.
Bitdefender a publié un livre blanc détaillé comportant le calendrier détaillé de la divulgation et décrivant les recherches derrière l'attaque. Bitdefender a également publié des articles de blog expliquant l'attaque ainsi qu'une vidéo de démonstration.
« Bien que le déploiement du correctif de Microsoft soit hautement recommandé, Bitdefender Hypervisor Introspection offre un contrôle compensateur qui prévient l'attaque. »
Bitdefender a démontré comment l'introspection de l'hyperviseur bloquait l'attaque en supprimant les conditions nécessaires à sa réussite sur les systèmes Windows non corrigés. Cette mesure d'atténuation n'est à l'origine d'aucune dégradation notable des performances. Bien que le déploiement du correctif de Microsoft soit hautement recommandé, l'introspection de l'hyperviseur offre un contrôle compensateur efficace jusqu'à ce que des correctifs puissent être appliqués aux systèmes.
L'introspection de l'hyperviseur analyse la mémoire des MV invitées et identifie les objets d'intérêt. Bitdefender a atténué cette vulnérabilité, avant la publication de tout correctif applicable, en instrumentant chaque instruction SWAPGS vulnérable pour s'assurer qu'elle ne s'exécute pas de manière spéculative, empêchant ainsi les fuites de mémoire du noyau.
En dépit de tous leurs efforts, de nombreuses organisations peinent à déployer les correctifs selon un calendrier optimal. L'introspection de l'hyperviseur les aide à combler l'écart entre la publication et le déploiement de correctifs relatifs à d'importantes failles de sécurité.
L'introspection de l'hyperviseur est une fonctionnalité unique à Bitdefender. Elle est actuellement prise en charge par Citrix Hypervisor, Xen et KVM en tant que nouveauté technologique.
L'introspection de l'hyperviseur tire parti des avantages inhérents à la position des hyperviseurs par rapport au matériel sous-jacent et aux systèmes d'exploitation virtualisés (Windows, Linux et machines virtuelles de bureau et de serveur, entre autres). L'introspection de l'hyperviseur inspecte en temps réel la mémoire brute des machines virtuelles en cours d'exécution. Elle recherche des signes de techniques d'attaque basées sur la mémoire, utilisées de manière systématique pour exploiter des vulnérabilités connues et inconnues.
L'introspection de l'hyperviseur est une approche de sécurité puissante propre à Bitdefender. La recherche et le développement de Bitdefender ont travaillé avec Xen Project à l'extension de l'introspection des machines virtuelles (VMI) au sein de l'hyperviseur Xen. Citrix a adopté la fonctionnalité dans Citrix Hypervisor en tant que Direct Inspect APIs. Bitdefender continue également de travailler avec la communauté KVM et d'autres communautés open source, en plus de poursuivre la recherche et le développement relatifs à des scénarios non virtualisés tels que les systèmes embarqués.
Un autre exemple marquant des capacités de l'introspection de l'hyperviseur est apparu avant la publication d'EternalBlue, qui a ensuite été utilisée dans la vague des ransomwares WannaCry. Sans connaissance de la cyberattaque spécifique ou de la vulnérabilité sous-jacente, l'introspection de l'hyperviseur a bloqué l'attaque, car celle-ci exploite une technique d'attaque par dépassement de tampon.
Bien que l'utilisation de dépassements de tampon pour exploiter des vulnérabilités ne soit pas nouvelle, l'adoption rapide d'EternalBlue par les attaquants mettant en œuvre WannaCry a démontré, une fois de plus, que les organisations étaient souvent incapables de déployer des correctifs critiques suffisamment en amont pour prévenir les cyberattaques. Que l'on envisage les techniques d'attaque éprouvées telles que les dépassements de tampon, la pulvérisation de tas et l'injection de code, ou les attaques hautement sophistiquées exploitant des vulnérabilités présentes dans les niveaux les plus profonds des fonctionnalités matérielles, il est évident que les organisations doivent intégrer une nouvelle approche de sécurité, telle que l'introspection de l'hyperviseur, à leur structure de sécurité.
L'introspection de l'hyperviseur démontre comment les fournisseurs de sécurité, de matériel, de virtualisation et de systèmes d'exploitation peuvent coopérer pour produire de nouvelles approches de sécurité puissantes capables d'endiguer la vague d'attaques hautement sophistiquées.
L'attaque SWAPGS exploite, via une attaque par auxiliaire de canal, une faille dans le régime d'exécution spéculative des processeurs Intel modernes. Cette attaque contourne les mécanismes d'atténuation mis en place pour contrecarrer les attaques précédentes. Dans la mesure où l'attaque tire parti de l'instruction SWAPGS lorsqu'elle est engagée de manière spéculative, l'application de correctifs aux systèmes d'exploitation pouvant utiliser SWAPGS est fortement recommandée. Compte tenu de l'étendue des recherches menées par l'équipe Bitdefender ayant découvert l'attaque SWAPGS, les systèmes vulnérables connus se limitent à ceux hébergeant le système d'exploitation Windows sur des processeurs Intel modernes capables de mettre en œuvre l'exécution spéculative. Jusqu'à ce que des correctifs puissent être appliqués, il est fortement recommandé de déplacer les charges de travail exécutées dans des systèmes d'exploitation vulnérables vers des hôtes exécutant Bitdefender Hypervisor Introspection via Citrix Hyperviseur ou Xen.
En mai 2019, un article de blog de Bitdefender a résumé les recherches portant sur un autre mécanisme d'attaque par canal auxiliaire basé sur l'exécution spéculative. À l'époque, comme indiqué dans le calendrier de divulgation figurant dans le livre blanc, nous avons accepté de retarder la publication du livre blanc de recherche approfondie portant sur les mécanismes d'exécution spéculative par canal auxiliaire découverts. Le livre blanc, intitulé « Security Implications of Speculatively Executing Segmentation Related Instructions on Intel CPUs » et disponible ici, a été rédigé par les deux mêmes chercheurs que ceux qui ont rédigé le livre blanc relatif à l'attaque SWAPGS.
R. Les informations sensibles sont toutes les informations susceptibles de permettre à un attaquant de développer davantage une attaque. Par exemple, des pointeurs ou des adresses pouvant permettre à un attaquant d'effectuer une escalade de privilèges. Un attaquant pourrait également exfiltrer d'autres informations sensibles, telles que des mots de passe, des clés de chiffrement, des jetons ou des identifiants d'accès susceptibles de se trouver la mémoire du noyau.
R. Si les informations dérobées permettent initialement au cybercriminel de développer davantage une attaque (par exemple, une escalade de privilèges), oui, cela est possible.
R. Tous les processeurs Intel prenant en charge les instructions SWAPGS et WRGSBASE sont affectés. Concrètement, cela correspond à tous les processeurs depuis l'Intel Ivy Bridge (introduit en 2012) jusqu'aux dernières séries de processeurs mises sur le marché.
R. Tout appareil équipé d'un processeur Intel Ivy Bridge ou d'un processeur Intel plus récent : ordinateurs de bureau, ordinateurs portables, serveurs, etc. Cette vulnérabilité touche tous les utilisateurs, particuliers et entreprises.
R. Nous supposons que les appareils Apple NE SONT PAS vulnérables, mais nous devons attendre la position officielle de la firme une fois que tout aura été publié.