Dans le cadre de notre partenariat avec Intel, nous avons été informés de la découverte d’un vecteur exploitant les failles de type « attaques par canal auxiliaire d’exécution spéculative » (speculative execution side-channel attaks). Cette nouvelle vulnérabilité, L1 Terminal Fault (L1TF), ou Foreshadow, est donc apparentée aux failles Spectre et Meltdown dévoilées en janvier puis mai 2018.
Qu’est-ce que L1TF ?
Baptisée L1 Terminal Fault (L1TF) ou « Foreshadow », cette vulnérabilité concerne les processeurs dotés d’une technologie SMT (plus connue sous l’appellation Hyper-Threading chez Intel). Elle pourrait permettre à un code malveillant exécuté sur un thread d’accéder à des données du cache L1 de l’autre thread, au sein d’un même cœur.
L1FT / Foreshadow est une vulnérabilité est extrêmement complexe à mettre en œuvre et seul un proof of concept, élaboré en laboratoire, a permis de valider son existence. Bien qu’aucun élément ne permette de penser qu’elle puisse avoir été réellement exploitée, trois identifiants CVE (de niveau « high ») ont déjà été créés :
- L1 Terminal Fault – SGX (CVE-2018-3615) 7.9 High CVSS : 3.0/AV : L/AC : L/PR : N/UI : N/S : C/C : H/I : L/A : N ;
- L1 Terminal Fault – OS, SMM (CVE-2018-3620) 7.1 High CVSS : 3.0/AV : L/AC : L/PR : N/UI : N/S : C/C : H/I : N/A : N ;
- L1 Terminal Fault – VMM (CVE-2018-3646) 7.1 High CVSS : 3.0/AV : L/AC : L/PR : N/UI : N/S : C/C : H/I : N/A : N.
Comment se protéger de cette faille ?
La mitigation de ces trois variantes de L1 Terminal Fault (L1TF) repose sur deux actions :
- l’utilisation des microcodes fournis depuis mai (via le boot UEFI d’OVH et/ou via le système d’exploitation) ;
- la mise à jour des systèmes d’exploitation et des kernels (les principaux éditeurs d’OS et d’hyperviseurs vont commencer la distribution de patch).
OVH appliquera ces patchs sur ses machines hôtes lorsque ces derniers seront disponibles et que nous aurons, comme à l’accoutumée, validés en interne l’ensemble de nos tests de non-régression.
Les clients possédant une offre managée (hébergement web, e-mails, etc.) n’ont donc aucune action à effectuer.
En parallèle, pour les clients disposant d’un accès root à leurs infrastructures (serveurs dédiés, VPS, Public Cloud, Private Cloud, etc.), une mise à jour du système d’exploitation et des kernels (https://docs.ovh.com/fr/dedicated/mettre-a-jour-kernel-serveur-dedie/) permettra de les sécuriser.
Précisions concernant la variante CVE-2018-3646
Dans le cas particulier de la variante 3646 de Foreshadow, un délai pourrait être nécessaire aux éditeurs pour proposer un correctif. En attendant ce dernier, une manière de se prémunir de cette dernière est de désactiver l’Hyper-Threading. Selon les cas, il est possible de le désactiver directement depuis l’OS (Linux, Windows, …). D’après nos informations, VMware ESXi devrait offrir cette fonctionnalité dans une prochaine mise à jour.
Attention cependant, l’impact de cette opération en termes de performances peut être très important. Compte tenu de la complexité d’exploitation de cette faille, nous conseillons donc d’attendre les recommandations de l’éditeur de l’OS ou de l’hyperviseur utilisé avant de procéder à une désactivation de l’Hyper-Threading.
Recommandations générales
Comme toujours, nous encourageons donc nos clients à simplement garder leurs systèmes à jour afin de garantir un maximum d’efficacité aux mesures de protection mises en place.
En tant qu’hébergeur et fournisseur mondial de services cloud, nous travaillons en étroite collaboration avec nos partenaires, fabricants comme éditeurs, afin d’améliorer chaque jour la sécurité de nos infrastructures. Nous appliquons patchs et correctifs lorsque de nouvelles vulnérabilités sont découvertes, en complément d’autres mesures internes de protection.
Cette vulnérabilité L1 Terminal Fault (L1TF) / Foreshadow ne fait pas exception à la règle. Mais face à la médiatisation de sa découverte et fidèles aux valeurs de transparence d’OVH, nous souhaitions via ce message répondre aux interrogations de nos clients.
Pour en savoir plus :
https://www.ovh.com/fr/blog/ovh-l1-terminal-fault-l1ft-foreshadow-disclosure/