CSIRT-DCP-ALE-2018-001 : Différence entre versions

De Docaposte Cyberdéfense
Aller à : navigation, rechercher
(Score CVSS)
Ligne 37 : Ligne 37 :
 
(A) Adjacent
 
(A) Adjacent
 
(L) Local
 
(L) Local
(P) Physical||btn-success size="xs"
+
(P) Physical||size="xs" btn-success
 
</btn>
 
</btn>
  

Version du 6 février 2018 à 20:05

Bulletin d'alerte de sécurité du CSIRT DOCAPOST
Multiples vulnérabilités de fuite d’informations dans des processeurs
CSIRT-DCP-ALE-2018-001

download this selection of articles as a PDF book

Gestion du document

Date de la première version :

04/01/2018

Date de la dernière version :

06/02/2018

Version :

1.5

Source :

Service de Lutte Contre La Cybercriminalité (SLCC La Poste)
Agence National de la Sécurité des Systèmes d'Information (ANSSI)

Risque(e) / Impact(s)

Score CVSS

Score de base :

(N) Network(A) Adjacent(L) Local(P) Physical
Risque(s)
  • Atteinte à la confidentialité des données
Impact(s)

Les vulnérabilités décrites dans cette alerte peuvent impacter tous les systèmes utilisant un processeur vulnérable et donc de façon indépendante du système d'exploitation. Selon les chercheurs à l'origine de la découverte de ces failles, il est ainsi possible d'accéder à l'intégralité de la mémoire physique sur des systèmes Linux et OSX et à une part importante de la mémoire sur un système Windows. On notera que l'impact peut être plus particulièrement important dans des systèmes de ressources partagés de type conteneur (Docker, LXC) où il serait possible depuis un environnement restreint d'accéder à toutes les données présentes sur la machine physique dans lequel s'exécute le conteneur ou encore dans des environnements virtualisés utilisant la para-virtualisation de type Xen.

Résumé de la vulnérabilité ou de la menace

  • CVE-2017-5753 : Contournement des frontières. Un attaquant local pourrait l'exploiter afin de lire des portions arbitraires de 4GB de la mémoire du noyau via une application utilisateur spécialement conçue. Cette vulnérabilité, due à une lecture mémoire hors des limites dans la fonctionnalité d'optimisation processeur "Branch Prediction", est exploitable par l'attaque Spectre. Cette vulnérabilité existe sous condition que l'interpréteur ou moteur eBPF JIT soit activé par le noyau
  • CVE-2017-5715 : "Branch target injection". Un attaquant en tant qu'invité privilégié (root) dans une machine virtuelle pourrait l'exploiter afin de lire des informations provenant de la mémoire de l'hôte via l'exécution d'une application spécialement formée en mode utilisateur l'invité. Cette vulnérabilité, due à des fuites de mémoire possible dans les caches pour la fonctionnalité d'optimisation processeur "Branch Prediction", est exploitable par l'attaque Spectre.
  • CVE-2017-5754 : "Rogue data cache load". Un attaquant local pourrait l'exploiter afin d'obtenir des informations provenant du noyau via une application spécialement formée en mode utilisateur. Cette vulnérabilité, due à une mauvaise gestion des caches par certains CPU Intel, est exploitable par l'attaque MeltDown.


Vecteur(s) d'infection(s) / d'attaque(s)

Système(s) affecté(s)

Résumé

Contre(s) mesure(s)

Mesure(s) réactive(s)

IoC

Documentations et informations techniques

Récupérée de « https://csirt.docapost.fr/index.php?title=CSIRT-DCP-ALE-2018-001&oldid=228 »