Les processeurs Intel et AMD sont vulnrables une attaque par excution spculative rcemment dcouverte, qui peut entraner une fuite secrte de mots de passe et d’autres donnes sensibles. Nomme « Retbleed », l’attaque cible les retpolines (return trampoline), l’une des dfenses proposes en 2018 pour attnuer Spectre, un sous-ensemble d’attaques par canal latral de synchronisation microarchitectural affectant les microprocesseurs modernes. Les deux fabricants de puces se dmnent une fois de plus pour contenir ce qui s’avre tre une vulnrabilit persistante et tenace.
Retbleed est une vulnrabilit rcemment dcouverte par les chercheurs de l’cole polytechnique fdrale (ETH) de Zurich. Elle a t nomme ainsi parce qu’elle exploite une dfense logicielle connue sous le nom de retpoline. Cette dfense a t introduite en 2018 pour attnuer les effets nfastes des attaques par excution spculative. Les attaques par excution spculative exploitent le fait que lorsque les processeurs modernes rencontrent un branchement d’instruction direct ou indirect, ils prdisent l’adresse de la prochaine instruction qu’ils vont recevoir et l’excutent automatiquement avant que la prdiction ne soit confirme.
Les attaques par excution spculative fonctionnent en incitant le processeur excuter une instruction qui accde des donnes sensibles dans une mmoire qui serait normalement interdite une application peu privilgie. Les donnes sont ensuite extraites aprs l’annulation de l’opration. Un retpoline fonctionne en utilisant une srie d’oprations de retour pour isoler les branches indirectes des attaques par excution spculative, en rigeant en fait l’quivalent logiciel d’un trampoline qui les fait rebondir en toute scurit. En d’autres termes, un retpoline fonctionne en remplaant les sauts et les appels indirects par des retours.
Malgr les proccupations, le risque li au comportement de la prdiction des retours dans les piles d’appels profonds a t considr comme faible et les retpolines sont devenus la principale mesure d’attnuation contre Spectre. Certains chercheurs ont averti depuis des annes que cette dfense n’est pas suffisante pour attnuer les attaques par excution spculative, car selon eux, les retours utiliss par le retpoline taient sensibles BTI. Le crateur de Linux, Linus Torvalds, a rejet ces avertissements, arguant que de tels exploits n’taient pas pratiques.
Cependant, les chercheurs de l’ETH Zurich ont dcouvert que l’exploitation est, en fait, pratique. Les chercheurs de l’ETH Zurich ont dmontr de manire concluante que le retpoline est insuffisant pour prvenir les attaques par excution spculative. Leur preuve de concept Retbleed fonctionne contre les processeurs Intel dots des microarchitectures Kaby Lake et Coffee Lake et les microarchitectures AMD Zen 1, Zen 1+ et Zen 2.
Nos rsultats montrent que toutes les instructions de retour qui suivent des piles d’appels suffisamment profondes peuvent tre dtournes en utilisant un historique prcis des branchements sur les CPU Intel. En ce qui concerne les processeurs AMD, nous constatons que toute instruction de retour peut tre dtourne, quelle que soit la pile d’appels prcdente, tant que la destination de la branche prcdente est correctement choisie pendant le dtournement , notent les universitaires de l’ETH Zurich Johannes Wikner et Kaveh Razavi dans leur document de recherche.
En gros, un logiciel malveillant sur une machine peut exploiter Retbleed pour obtenir de la mmoire laquelle il ne devrait pas avoir accs – comme les donnes du noyau du systme d’exploitation – des mots de passe, des cls et d’autres secrets. Selon les universitaires, la variante 2 de Spectre exploitait les branches indirectes pour obtenir une excution spculative arbitraire dans le noyau. Les branches indirectes ont t converties en retours en utilisant le retpoline pour attnuer la variante 2 de Spectre. Retbleed montre que les instructions de retour fuient malheureusement dans certaines conditions similaires aux branches indirectes.
Cela signifie que le retpoline tait malheureusement une attnuation inadquate au dpart. Selon les chercheurs, Retbleed peut faire fuir la mmoire du noyau des CPU Intel une vitesse d’environ 219 octets par seconde et avec une prcision de 98 %. L’exploit peut extraire la mmoire du noyau des CPU AMD avec une bande passante de 3,9 ko par seconde. Les chercheurs ont dclar qu’il tait capable de localiser et de divulguer le hachage du mot de passe de la racine d’un ordinateur sous Linux partir de la mmoire physique en 28 minutes environ avec les processeurs Intel et en 6 minutes environ avec les processeurs AMD.
L’article de recherche et le billet de blogue des chercheurs expliquent les conditions microarchitecturales ncessaires pour exploiter Retbleed. Sur Intel, les retours commencent se comporter comme des sauts indirects lorsque le tampon de la pile de retours, qui contient les prdictions de la cible de retour, est dbord. Cela se produit lors de l’excution de piles d’appels profondes. Une valuation a montr que plus d’un millier de conditions de ce type peuvent tre dclenches par un appel systme. Sur AMD, les retours se comporteront comme une branche indirecte, quel que soit l’tat de leur pile d’adresse de retour.
En fait, en empoisonnant l’instruction de retour l’aide d’un saut indirect, le prdicteur de branchement AMD supposera qu’il rencontrera un saut indirect au lieu d’un retour et, par consquent, prdira une cible de branchement indirect. Cela signifie que tout retour que nous pouvons atteindre par le biais d’un appel systme peut tre exploit, et il y en a des tonnes , ont crit les chercheurs. Nous avons galement constat que les CPU AMD prsentent des sauts fantmes (CVE-2022-23825) : des prdictions de branchement qui se produisent mme en l’absence de toute instruction de branchement correspondante , ont-ils ajout.
En rponse cette dcouverte, Intel et AMD ont conseill leurs clients d’adopter de nouvelles mesures d’attnuation qui, selon les chercheurs, ajouteront jusqu’ 28 % de frais gnraux supplmentaires aux oprations. Intel a confirm que la vulnrabilit existe sur les processeurs de la gnration Skylake qui ne disposent pas de la protection « Enhanced Indirect Branch Restricted Speculation » (eIBRS). Intel a travaill avec la communaut Linux et les fournisseurs de VMM pour fournir aux clients des conseils d’attnuation logicielle qui devraient tre disponibles la date de divulgation publique d’aujourd’hui ou aux alentours , a dclar Intel.
Il convient de noter que les systmes Windows ne sont pas concerns tant donn que ces systmes utilisent par dfaut la spculation restreinte de branche indirecte (IBRS), qui est galement la mesure d’attnuation mise la disposition des utilisateurs de Linux. Intel n’a pas connaissance de l’exploitation de ce problme en dehors d’un environnement de laboratoire contrl , explique Intel. De son ct, AMD a galement publi des conseils. AMD recommande aux fournisseurs de logiciels d’envisager de prendre des mesures supplmentaires pour aider se prmunir contre les attaques de type Spectre , a crit un porte-parole d’AMD.
L’entreprise a galement publi un livre blanc. Dans un courriel, Razavi a ajout : Retbleed est plus qu’un simple contournement du retpoline sur Intel, surtout sur les machines AMD. AMD va en fait publier un livre blanc prsentant la confusion de type de branche base sur Retbleed. Essentiellement, Retbleed fait en sorte que les CPU AMD confondent les instructions de retour avec les branches indirectes. Cela rend l’exploitation des retours trs triviale sur les CPU AMD . Les organisations qui utilisent les processeurs concerns doivent lire attentivement les publications des chercheurs, d’Intel et d’AMD et s’assurer de suivre les conseils d’attnuation.
Sources : Billet de blogue des chercheurs, Rapport de l’tude (PDF), Intel, AMD
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de la vulnrabilit Retbleed ?
Voir aussi