Deux chercheurs ont jeté un pavé dans la mare : de très nombreux systèmes d’exploitation sont victimes d’une faille de sécurité pouvant entrainer une escalade des privilèges à cause d’une mauvaise gestion de certaines instructions. Les éditeurs ont été prévenus en amont et des correctifs sont déjà disponibles.

Les failles de sécurité sont nombreuses, avec des vecteurs d’attaques bien différents selon les cas. Parmi les plus célèbres, nous pouvons citer Heartbleed, qui permettait de lire des données stockées dans la mémoire vive en raison d’une brèche dans OpenSSL,  ainsi que Meltdown et Spectre qui touchaient des processeurs AMD, ARM et (surtout) Intel. 

Parfois, l’utilisateur final est à blâmer. C’est notamment le cas lorsqu’il s’agit de phishing et qu’il clique sur n’importe quel lien ou pièce jointe dans un email, réutilise le même mot de passe à tout va ou, quand il manque d’idées, se contente de séquences simplistes, comme « 123456 » ou « password ».

De nombreux OS sont touchés : des distributions Linux, macOS, Windows…

Le cas qui nous intéresse aujourd’hui est différent : il n’y a pas de faille matérielle à proprement parler, mais plutôt une mauvaise compréhension du fonctionnement de certaines commandes assembleur par les développeurs. Une histoire qui, d’une certaine manière, fait penser aux dizaines de milliers de bases MongoDB laissées ouvertes aux quatre vents.

Les chercheurs en sécurité Nick Peterson (Everdox Tech/Riot Games) et Nemanja Mulasmajic (triplefault.io) ont publié un document détaillant cette faille, pour le moment baptisé « POP SS/MOV SS Vulnerability » et estampillée CVE-2018-8897. Ils remercient Andy Lutomirski (Linux) et Andrew Cooper (Xen) pour leur contribution, ayant permis de conclure que cette faille touchait de (très) nombreux OS, aussi bien sur les processeurs AMD qu’Intel, car elle concerne l’architecture x86-64.

La cause ? « Une documentation peu claire et peut-être incomplète »…

Avant d’entrer dans le vif du sujet, une parenthèse sur le nom de cette brèche, « POP SS/MOV SS Vulnerability » : pas très « vendeur » et bien loin des habitudes actuelles consistant à proposer un petit nom facile à retenir, agrémenté d’un logo et d’un site dédié.

Nick Peterson explique – non sans se moquer des autres brèches du genre – qu’il voulait « concevoir un logo, un site web, une bande-annonce et une bande-son pour cette vulnérabilité, mais le budget nécessaire n’était tout simplement pas là ».

Quoi qu’il en soit, le problème se situe dans la manière dont les instructions POP SS ou MOV SS sont gérées par les développeurs des systèmes d’exploitation : « Il s’agit d’une faille de sécurité sérieuse et d’une erreur des fournisseurs de systèmes d’exploitation, en raison d’une documentation peu claire et peut-être incomplète sur les mises en garde des instructions et leur interaction avec les portes d’interruption ».

We wanted to design a logo, a website, a trailer and a soundtrack for this vulnerability, but they budget just wasn’t there.

— nick (@nickeverdox) 9 mai 2018

Lord of the rings

Le CERT de l’université Carnegie Mellon y va également de sa petite explication technique sur cette faille : 

« Si l’instruction suivant MOV SS ou POP SS est de type SYSCALL, SYSENTER, INT 3, etc. qui transfère le contrôle au système d’exploitation au niveau de privilège actuel (Current Privilege Level ou CPL) < 3, une exception de débogage est délivrée après la fin du transfert au CPL < 3. De telles exceptions différées par MOV SS et POP SS peuvent avoir un comportement inattendu.

Ainsi, dans certains cas, une exception de débogage pointant vers des données dans un anneau inférieur (pour la plupart des systèmes d’exploitation, au niveau 0 du noyau) est accessible aux composants du système d’exploitation dans l’anneau 3. Cela peut permettre à un attaquant d’utiliser les API du système d’exploitation pour accéder aux informations sensibles de la mémoire ou contrôler les fonctions de bas niveau du système d’exploitation. »

Debian, résume la faille de cette manière : des chercheurs ont « découvert que les exceptions #DB qui étaient différées par MOV SS ou POP SS n’étaient pas correctement gérées, permettant à un utilisateur non privilégié de planter le noyau et de provoquer un déni de service ».

Microsoft confirme et donne des détails sur les conséquences

La faille dépend donc des choix opérés par les développeurs des systèmes d’exploitation, « mais la plupart, sinon la totalité » utilisent la même technique, affirment les chercheurs. Avec un effet boule de neige. 

Les conséquences sont variables : escalade des privilèges sur des systèmes comme Windows, macOS, Xen et FreeBSD explique le NIST (National Institute of Standards and Technology), accès à des informations sensibles dans la mémoire vive et à des fonctions de bas niveau ajoute le CERT, plantage du système d’exploitation, etc.

Microsoft confirme d’ailleurs dans son bulletin de sécurité, ajoutant quelques détails : « Pour exploiter cette vulnérabilité, un attaquant devrait d’abord se connecter au système d’exploitation. Il pourrait alors exécuter une application spécialement conçue pour en prendre le contrôle […] et exécuter du code arbitraire en mode noyau », c’est-à-dire sans restriction.

Parmi les conséquences : installer des programmes, afficher, modifier ou supprimer des données, créer de nouveaux comptes avec les pleins pouvoirs, etc.

Des correctifs déjà disponibles, parfois depuis plusieurs jours…

La liste des systèmes concernés est longue : Apple, FreeBSD, le noyau Linux, Microsoft (Windows 7, 8, 10, Server 2008, 2012, 2016…), Red Hat, Debian, SUSE, Synology, Ubuntu et Xen pour ne citer qu’eux. Selon le CERT, NetBSD et OpenBSD ne sont pas concernés. De son côté, VMWare affirme que ses hyperviseurs ne sont pas touchés, mais que certains produits (vCloud Usage Meter, vCenter Server…) peuvent l’être.

La bonne nouvelle, c’est qu’un simple correctif logiciel peut être appliqué pour boucher cette faille, sans aucune incidence sur les performances. D’ailleurs, la plupart des sociétés ont déjà déployé des correctifs pour tout ou partie de leurs logiciels, avant que la faille ne soit rendue publique.

C’est notamment le cas d’Apple, Microsoft, Debian, Linux, Red Hat, Ubuntu et Xen. Pour la marque à la Pomme, le patch est disponible avec la mise à jour 2018-001 du 24 avril. Les notes de version de l’époque ne faisaient pas état de ce correctif, mais le descriptif a été mis à jour par le fabricant au moment de la mise en ligne du document par les chercheurs.

… d’autres arrivent, comme chez Synology

De son côté, Synology est en train de travailler sur un correctif pour les versions 5.2, 6.0 et 6.1 de son Disk Station Manager. Bien évidemment, le Virtual DSM est touché et une mise à jour est également prévue. Dans les deux cas, aucune date n’a été donnée pour l’instant.

Dans le petit monde des NAS, Asustor et QNAP ne semblent pas encore avoir réagi ou donné de date pour une éventuelle mise à jour de leurs interfaces d’administration ADM et QTS. D’autres fabricants et développeurs devraient aussi se mettre à jour au cours des prochains jours. 

Comme toujours en pareille situation, il est évidemment recommandé de vérifier si un patch est disponible pour son système d’exploitation, et l’installer le cas échéant.