Après les failles Spectre et Meltdown de début d'année affectant des microprocesseurs, puis des variantes, voici les vulnérabilités Foreshadow (du nom affublé par des chercheurs en sécurité informatique) qu'Intel appelle plutôt L1 Terminal Fault (L1TF).
Ces vulnérabilités sont référencées CVE-2018-3615 (L1TF SGX / Foreshadow ou Foreshadow-SGX), CVE-2018-3620 (L1TF OS/SMM / Foreshadow-OS) et CVE-2018-3646 (L1TF VMM / Foreshadow-VMM). Elles peuvent conduire à une fuite d'informations résidant dans la mémoire cache de données de premier niveau (L1) des microprocesseurs tirant parti de l'exécution spéculative.
Rappelons que l'exécution spéculative permet de poursuivre l'exécution de code de manière probabiliste. Cette optimisation sert à gagner du temps par rapport à une exécution séquentielle. Via une analyse de canal auxiliaire (essentiellement l'implémentation de fonctionnalités), les failles sont exploitables par un attaquant avec accès utilisateur local.
L1TF SGX est en rapport avec l'implémentation de la technologie Intel Software Guard Extensions (Intel SGX), un ensemble d'instructions CPU pour la protection de données dans une enclave. L1TF OS/SMM fait référence aux informations du noyau du système d'exploitation et du System Management Mode (un mode de fonctionnement des processeurs x86). Pour L1TF VMM, c'est en rapport avec la virtualisation logicielle et des Virtual Machine Monitors exécutés sur des processeurs Intel (et donc l'attaque de machines virtuelles).
Les attaques sont sophistiquées et ne sont pas à la portée du premier venu, même si potentiellement elles peuvent faire fuiter des informations sensibles, comme des mots de passe ou clés de chiffrement par exemple. Elles ne sont en outre pas directement exploitables avec des serveurs.
Intel écrit ne pas avoir connaissance de méthodes utilisées pour des exploitations dans le monde réel et ajoute : " Une fois les systèmes mis à jour, nous nous attendons à ce que le risque pour les consommateurs et les entreprises utilisant des systèmes d'exploitation non virtualisés soit faible. Cela inclut la plupart des data centers et la vaste majorité des clients PC. " Qui plus est, a priori pas d'impact significatif sur les performances.
Les chercheurs en sécurité, qui ont mis en ligne un site dédié aux failles Foreshadow, ont découvert la vulnérabilité CVE-2018-3615 et ont prévenu Intel en janvier. Par la suite, Intel a découvert les variantes CVE-2018-3620 et CVE-2018-3646. Avant la divulgation publique, Intel a donc eu le temps de se préparer.
Pour faire face à L1TF SGX, une mise à jour du microcode a été fournie aux fabricants et pour les utilisateurs via des mises à jour BIOS. Pour L1TF OS/SMM et L1TF VMM, des mesures d'atténuation sont aussi proposées avec une mise à jour du microcode et BIOS, en plus de mises à jour du système d'exploitation et de virtualisation. Microsoft publie notamment un avis de sécurité et des mises à jour pour les failles L1TF.
Soulignons bien qu'il ne s'agit que de mesures d'atténuation (ou mitigation). Intel a aussi publié un avis de sécurité avec la liste des processeurs affectés. A priori, seuls les microprocesseurs Intel sont concernés par les failles Foreshadow.
