Windows, Linux, macOS : de nombreux OS victimes d'une faille, des correctifs disponibles

Windows, Linux, macOS : de nombreux OS victimes d’une faille, des correctifs disponibles

RTFM !

Avatar de l'auteur
Sébastien Gavois

Publié dans

Logiciel

11/05/2018 7 minutes
28

Windows, Linux, macOS : de nombreux OS victimes d'une faille, des correctifs disponibles

Deux chercheurs ont jeté un pavé dans la mare : de très nombreux systèmes d'exploitation sont victimes d'une faille de sécurité pouvant entrainer une escalade des privilèges à cause d'une mauvaise gestion de certaines instructions. Les éditeurs ont été prévenus en amont et des correctifs sont déjà disponibles.

Les failles de sécurité sont nombreuses, avec des vecteurs d'attaques bien différents selon les cas. Parmi les plus célèbres, nous pouvons citer Heartbleed, qui permettait de lire des données stockées dans la mémoire vive en raison d'une brèche dans OpenSSL,  ainsi que Meltdown et Spectre qui touchaient des processeurs AMD, ARM et (surtout) Intel. 

Parfois, l'utilisateur final est à blâmer. C'est notamment le cas lorsqu'il s'agit de phishing et qu'il clique sur n'importe quel lien ou pièce jointe dans un email, réutilise le même mot de passe à tout va ou, quand il manque d'idées, se contente de séquences simplistes, comme « 123456 » ou « password ».

De nombreux OS sont touchés : des distributions Linux, macOS, Windows...

Le cas qui nous intéresse aujourd'hui est différent : il n'y a pas de faille matérielle à proprement parler, mais plutôt une mauvaise compréhension du fonctionnement de certaines commandes assembleur par les développeurs. Une histoire qui, d'une certaine manière, fait penser aux dizaines de milliers de bases MongoDB laissées ouvertes aux quatre vents.

Les chercheurs en sécurité Nick Peterson (Everdox Tech/Riot Games) et Nemanja Mulasmajic (triplefault.io) ont publié un document détaillant cette faille, pour le moment baptisé « POP SS/MOV SS Vulnerability » et estampillée CVE-2018-8897. Ils remercient Andy Lutomirski (Linux) et Andrew Cooper (Xen) pour leur contribution, ayant permis de conclure que cette faille touchait de (très) nombreux OS, aussi bien sur les processeurs AMD qu'Intel, car elle concerne l'architecture x86-64.

La cause ? « Une documentation peu claire et peut-être incomplète »...

Avant d'entrer dans le vif du sujet, une parenthèse sur le nom de cette brèche, « POP SS/MOV SS Vulnerability » : pas très « vendeur » et bien loin des habitudes actuelles consistant à proposer un petit nom facile à retenir, agrémenté d'un logo et d'un site dédié.

Nick Peterson explique – non sans se moquer des autres brèches du genre – qu'il voulait « concevoir un logo, un site web, une bande-annonce et une bande-son pour cette vulnérabilité, mais le budget nécessaire n'était tout simplement pas là ».

Quoi qu'il en soit, le problème se situe dans la manière dont les instructions POP SS ou MOV SS sont gérées par les développeurs des systèmes d'exploitation : « Il s'agit d'une faille de sécurité sérieuse et d'une erreur des fournisseurs de systèmes d'exploitation, en raison d'une documentation peu claire et peut-être incomplète sur les mises en garde des instructions et leur interaction avec les portes d'interruption ».

Lord of the rings

Le CERT de l'université Carnegie Mellon y va également de sa petite explication technique sur cette faille : 

« Si l'instruction suivant MOV SS ou POP SS est de type SYSCALL, SYSENTER, INT 3, etc. qui transfère le contrôle au système d'exploitation au niveau de privilège actuel (Current Privilege Level ou CPL) < 3, une exception de débogage est délivrée après la fin du transfert au CPL < 3. De telles exceptions différées par MOV SS et POP SS peuvent avoir un comportement inattendu.

Ainsi, dans certains cas, une exception de débogage pointant vers des données dans un anneau inférieur (pour la plupart des systèmes d'exploitation, au niveau 0 du noyau) est accessible aux composants du système d'exploitation dans l'anneau 3. Cela peut permettre à un attaquant d'utiliser les API du système d'exploitation pour accéder aux informations sensibles de la mémoire ou contrôler les fonctions de bas niveau du système d'exploitation. »

Debian, résume la faille de cette manière : des chercheurs ont « découvert que les exceptions #DB qui étaient différées par MOV SS ou POP SS n'étaient pas correctement gérées, permettant à un utilisateur non privilégié de planter le noyau et de provoquer un déni de service ».

Microsoft confirme et donne des détails sur les conséquences

La faille dépend donc des choix opérés par les développeurs des systèmes d'exploitation, « mais la plupart, sinon la totalité » utilisent la même technique, affirment les chercheurs. Avec un effet boule de neige. 

Les conséquences sont variables : escalade des privilèges sur des systèmes comme Windows, macOS, Xen et FreeBSD explique le NIST (National Institute of Standards and Technology), accès à des informations sensibles dans la mémoire vive et à des fonctions de bas niveau ajoute le CERT, plantage du système d'exploitation, etc.

Microsoft confirme d'ailleurs dans son bulletin de sécurité, ajoutant quelques détails : « Pour exploiter cette vulnérabilité, un attaquant devrait d'abord se connecter au système d'exploitation. Il pourrait alors exécuter une application spécialement conçue pour en prendre le contrôle [...] et exécuter du code arbitraire en mode noyau », c'est-à-dire sans restriction.

Parmi les conséquences : installer des programmes, afficher, modifier ou supprimer des données, créer de nouveaux comptes avec les pleins pouvoirs, etc.

Des correctifs déjà disponibles, parfois depuis plusieurs jours...

La liste des systèmes concernés est longue : AppleFreeBSD, le noyau LinuxMicrosoft (Windows 7, 8, 10, Server 2008, 2012, 2016...), Red HatDebianSUSESynologyUbuntu et Xen pour ne citer qu'eux. Selon le CERT, NetBSD et OpenBSD ne sont pas concernés. De son côté, VMWare affirme que ses hyperviseurs ne sont pas touchés, mais que certains produits (vCloud Usage Meter, vCenter Server...) peuvent l'être.

La bonne nouvelle, c'est qu'un simple correctif logiciel peut être appliqué pour boucher cette faille, sans aucune incidence sur les performances. D'ailleurs, la plupart des sociétés ont déjà déployé des correctifs pour tout ou partie de leurs logiciels, avant que la faille ne soit rendue publique.

C'est notamment le cas d'Apple, Microsoft, Debian, Linux, Red Hat, Ubuntu et Xen. Pour la marque à la Pomme, le patch est disponible avec la mise à jour 2018-001 du 24 avril. Les notes de version de l'époque ne faisaient pas état de ce correctif, mais le descriptif a été mis à jour par le fabricant au moment de la mise en ligne du document par les chercheurs.

... d'autres arrivent, comme chez Synology

De son côté, Synology est en train de travailler sur un correctif pour les versions 5.2, 6.0 et 6.1 de son Disk Station Manager. Bien évidemment, le Virtual DSM est touché et une mise à jour est également prévue. Dans les deux cas, aucune date n'a été donnée pour l'instant.

Dans le petit monde des NAS, Asustor et QNAP ne semblent pas encore avoir réagi ou donné de date pour une éventuelle mise à jour de leurs interfaces d'administration ADM et QTS. D'autres fabricants et développeurs devraient aussi se mettre à jour au cours des prochains jours. 

Comme toujours en pareille situation, il est évidemment recommandé de vérifier si un patch est disponible pour son système d'exploitation, et l'installer le cas échéant. 

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

De nombreux OS sont touchés : des distributions Linux, macOS, Windows...

La cause ? « Une documentation peu claire et peut-être incomplète »...

Lord of the rings

Microsoft confirme et donne des détails sur les conséquences

Des correctifs déjà disponibles, parfois depuis plusieurs jours...

... d'autres arrivent, comme chez Synology

Commentaires (28)


En même temps la fonction SS à toujours posé problème dans l’histoire récente ^^


Ah bah ça l’air d’être exécutable à distance tient.



Bon bah y’a plus qu’à. <img data-src=" />



\( nano /etc/apt/sources.list





debhttp://ftp.us.debian.org/debian/ stretch main contrib non-free

deb-srchttp://ftp.us.debian.org/debian/ stretch main contrib non-free



debhttp://security.debian.org/debian-security stretch/updates main contrib non-free

deb-srchttp://security.debian.org/debian-security stretch/updates main contrib non-free





\)
apt-get update && apt-get upgrade -y



Ya deux fois linux dans le titre :/








PtiDidi a écrit :



Ya deux fois linux dans le titre :/







Y’a tellement de distrib aussi <img data-src=" />



y a “Linux ” et “Linux” !!!!



Tout est dans le detail ;)


Quelqu’un sait quel kernel tux est OK ? J’ai eu des mises à jours récentes (la dernière il y a à peine cinq minutes) et je suis peut-être OK.








secouss a écrit :



En même temps la fonction SS à toujours posé problème dans l’histoire récente ^^







<img data-src=" />



C’est corrigé, merci du signalement ;)









boogieplayer a écrit :



Y’a tellement de distrib aussi <img data-src=" />





Je vais tenter comme excuse ^^&nbsp;



C’est amusant, le correctif pour Linux avait était écrit le “Thu Jul 23 15:37:48 2015”, mais n’a été mergé que le “Sun Mar 25 07:36:02 2018”


ça a toujours été difficile d’être SS alors&nbsp; faire de la POP SS pffffiou et puis musicalement ça doit être chelou.&nbsp;<img data-src=" />








secouss a écrit :



En même temps la fonction SS à toujours posé problème dans l’histoire récente ^^







<img data-src=" />







teddyalbina a écrit :



ça a toujours été difficile d’être SS alors  faire de la POP SS pffffiou et puis musicalement ça doit être chelou. <img data-src=" />







<img data-src=" />










teddyalbina a écrit :



ça a toujours été difficile d’être SS alors  faire de la POP SS pffffiou et puis musicalement ça doit être chelou. <img data-src=" />







Dans le genre, tu as ça, qui se prend au sérieux…



Tu as aussi ceci en plus marrant…



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />






Windows, Linux, macOS : de nombreux OS victimes d’une faille, des correctifs disponibles





Plutôt qu’un titre de news, je propose d’écrire cette phrase sur une bannière permanente en haut du site.


<img data-src=" />



Et désolé mais sur mobile je suis toujours à la recherche du bouton de signalement, je le perds à chaque fois -_-

J’en viens à me demander s’il existe pour de vrai :)


Le début de l’article compare cette faille à celle des bases MongoDb en accès libre. Mais la faille MongoDB résultait d’une erreur de l’utilisateur. Alors que cette faille (pop mov SS) existe même si l’utilisateur n’a pas fait d’erreur, car l’erreur se trouve dans l’OS utilisé.

Le reste de l’article me paraît très pédagogique, merci.


Le point commun est que la faille liée à l’implémentation (par le développeur, par l’administrateur), pas à la conception. Dans les deux cas, une documentation plus explicite évitait probablement le problème.







  • Dans le cas présent, la quasi totalité des concepteurs d’OS n’a pas compris comment fonctionne POP SS/MOV SS.

  • Dans le cas MongoDB, 40000 sysadmins n’avaient pas compris comment fonctionnait la gestion d’accès.




Est ce que cette faille touche les consoles de jeux ?


PS4 et XBox One potentiellement, elles utilisent l’architecture x86-64. Les autres consoles non.








Quiproquo a écrit :





Je me permettrais d’appeler ces 40000 sysadmins plutôt : “simples devs à qui on a demandé de mettre une base (dont ils ont lu la desc Wikipedia y’a 10min) dans le cloud en 5min, parce que bon, y’a d’autres trucs lucratifs à traiter en prio” <img data-src=" />



C’est donc une faille de sécurité qui est présente depuis le 80386, soit plus de trente ans ?!?!?!


Le pire péché de l’ homme est de ne pas vouloir savoir.

La fainéantise intellectuelle est une des pires faiblesses de l’ homme quand on la mesure à ses conséquences.

Ce que beaucoup de personnes illustrent par “Cela ne sert à rien de se prendre la tête” ou “Ça me saoule” “Ça me casse les c…..” quand de toute évidence il existe toujours un travail plus important et nécessaire afin d’ obtenir la substantifique moelle de la vérité parce que la vérité n’ est jamais aussi simple que nous aimerions le penser ou que parfois elle se situe tout simplement “ailleurs”.

Utiliser une fonction sans connaitre l’ état d’ esprit qui a conduit à sa création c’ est se fourvoyer dans son utilisation.

Comme on dit toujours :

La lettre n’ est&nbsp;&nbsp;&nbsp;&nbsp; R I E N &nbsp;&nbsp; sans&nbsp; l’ Esprit.

&nbsp;

&nbsp;


Non, le 80386 est 32 bits pour le processeur et 36 bits pour l’adressage.

Les premiers X86_64 chez Intel étaient les derniers pentium4.








benjarobin a écrit :



C’est amusant, le correctif pour Linux avait était écrit le “Thu Jul 23 15:37:48 2015”, mais n’a été mergé que le “Sun Mar 25 07:36:02 2018”





Hmm c’est intriguant !!







Francois75 a écrit :



C’est donc une faille de sécurité qui est présente depuis le 80386, soit plus de trente ans ?!?!?!







polo35 a écrit :



Non, le 80386 est 32 bits pour le processeur et 36 bits pour l’adressage.

Les premiers X86_64 chez Intel étaient les derniers pentium4.





En fait, même depuis encore plus longtemps, le registre SS a été introduit avec le 286 !!! Donc je suppose que tous les processeurs Intel et AMD depuis, qu’ils tournent avec un OS 32 ou 64 bits, sont affectés par le problème, pas uniquement les processeur x86_64 des 15 dernières années.

Enfin bon, en pratique ce sont les OS qui gèrent mal l’interruption retardée, pas la faute des processeurs, mais certainement de leur documentation.



<img data-src=" />








127.0.0.1 a écrit :



Plutôt qu’un titre de news, je propose d’écrire cette phrase sur une bannière permanente en haut du site.





Pour cela il aurait fallu que l’article soit en accès libre.

Drôle d’idée de mettre une news quasiment d’utilité publique en premium only



Normalement, les gens ne devraient pas avoir besoin de NXI pour faire les mises à jour de sécurité.


À côté du budget, la grammaire aussi était manquante








boogieplayer a écrit :



Ah bah ça l’air d’être exécutable à distance tient.





Il me semblait qu’on était dans une attaque locale plutôt. Peux-tu en dire plus sur la compromission à distance ? (les conditions à réunir pour que ce soit possible, etc.)







Ler van keeg a écrit :



Pour cela il aurait fallu que l’article soit en accès libre.

Drôle d’idée de mettre une news quasiment d’utilité publique en premium only





Tu crois vraiment que c’est si important que ça ?







Quiproquo a écrit :



Normalement, les gens ne devraient pas avoir besoin de NXI pour faire les mises à jour de sécurité.





Oui et puis bon, pour ce qu’on risque à titre perso (et même à titre pro si c’est pas une faille exploitable à distance)