Windows et Linux présentent les options permettant de désactiver la technologie Intel TSX sur leurs plateformes afin de faire face à la vulnérabilité Zombieload v2

Uncategorized

Récemment, une nouvelle variante de la vulnérabilité Zombieload a été exposée au grand jour et il a été établi que toutes les microarchitectures de processeurs x86 d’Intel depuis 2013 sont vulnérables à ce nouvel exploit portant le nom de code « CVE-2019-11135 » ou « Zombieload v2 » ou faille TAA. Cette nouvelle variante porte à cinq le nombre de vulnérabilités incluses dans la famille MDS telle que définie par Intel. Malheureusement, il n’existe à l’heure actuelle aucune protection matérielle implémentée directement au niveau des processeurs x86 du fondeur américain qui permettrait de se prémunir contre Zombieload v2. Selon Intel, le CVSS (Common Vulnerability Scoring System) de cette nouvelle faille est de 6,5.

Zombieload v2 affecte tous les processeurs d’Intel supportant le jeu d’instruction TSX (Transactional Synchronization Extensions), soit toutes les puces depuis la génération Haswell, jusqu’à la génération récente Cascade Lake. La technologie TSX développée par Intel se présente comme une extension du jeu d’instructions de l’architecture x86 qui ajoute la prise en charge de la mémoire transactionnelle matérielle afin d’améliorer les performances des logiciels multithreadés. Cette technologie a deux sous-fonctionnalités : Restricted Transactional Memory (RTM) et Hardware Lock Elision (HLE). TSX est notamment mis à contribution dans les environnements SQL hautement parallélisés pour empêcher les différents cœurs d’un CPU de se bloquer mutuellement.

La stratégie d’Intel vis-à-vis de Zombieload v2

Intel a publié un patch de sécurité qui cible le logiciel embarqué ou microcode des cartes mères qui prennent en charge les processeurs affectés, y compris ceux de la génération Cascade Lake. Il devrait être distribué par les fabricants de cartes sous forme de mises à jour BIOS. Les plateformes Windows et Linux basées sur des CPU Intel sensibles sont toutes concernées par ce patch de sécurité. Signalons au passage que les processeurs x86 d’AMD, notamment ceux qui dérivent de l’architecture Zen / Zen+ / Zen2, sont intrinsèquement immunisés contre Zombieload v2. Il en serait de même pour les CPU IBM Power9v2. Selon l’avis de sécurité officiel d’Intel, les CPU suivants sont concernés :

Les recommandations de Microsoft

Les équipes de Microsoft et les développeurs du noyau Linux ont ajouté ou fait par des solutions qui permettent de désactiver la prise en charge de TSX. La firme de Redmond a publié sur son site un avis sur la façon dont les administrateurs système peuvent désactiver (1) ou réactiver (2) la fonctionnalité TSX en utilisant des clés de registre comme suit :
(1)


reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Control\Session Manager\Kernel" /v DisableTsx /t REG_DWORD /d 1 /f

(2)


reg add « HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Control\Session Manager\Kernel » /v DisableTsx /t REG_DWORD /d 0 /f

Des informations plus précises pour Linux

Sur les systèmes Linux où les administrateurs ont appliqué les mises à jour de microcode d’Intel, deux options d’atténuation du TAA (TSX Asynchronous Abort) existent. La première se traduit par l’ajout du Model Specific Register (MSR) IA32_TSX_CTRL qui permet de désactiver RTM seul ou RTM et HLE en même temps. La seconde qui est basée sur les anciennes solutions de mitigation de MDS permet de supprimer les données périmées présentes au niveau du CPU par le biais d’une instruction VERW qui efface tous les tampons de la puce. Il semble dans ce dernier cas que l’application des nouvelles mesures de mitigation d’Intel « désactive inconditionnellement » la fonctionnalité HLE des CPU cibles sur les plateformes Linux. Par ailleurs, Intel recommande la désactivation de HLE, mais aussi celle de RTM pour les environnements virtualisés.

L’impact sur les performances des systèmes touchés

Comme l’a récemment souligné un développeur du noyau Linux, il faut rappeler qu’à cause des failles matérielles qui affectent les processeurs Intel et des différentes solutions de mitigation publiées par la firme de Santa Clara, il est recommandé aux utilisateurs, professionnels et entreprises soucieux de la sécurité de leurs données de désactiver la technologie Hyperthreading sur leurs systèmes basés sur des processeurs Intel. Par ailleurs, ils doivent tous s’attendre à une réduction des performances — de l’ordre de 20 % environ (jusqu’à 40 % dans certains cas) — sur les systèmes basés sur les CPU Intel sensibles à ces différents exploits. La découverte de nouvelles vulnérabilités matérielles comme Zombieload v2 et la publication de nouvelles mesures d’atténuation ne fera probablement qu’aggraver ces désagréments.

Source : Microsoft, Linux, Intel

Et vous ?

Qu’en pensez-vous ?

Voir aussi

MDS : de nouveaux exploits liés à l’exécution spéculative qui affectent les CPU Intel jusqu’à Kaby Lake et exposent les données des mémoires tampon
Spectre/Meltdown : de nouvelles failles dans les processeurs, elles permettent de lire les registres internes, la mémoire kernel et celle de l’hôte
PortSmash : une nouvelle faille critique qui affecte les CPU Intel exploitant l’Hyperthreading ou le SMT. Des CPU AMD pourraient aussi être touchés
Un développeur du noyau Linux rappelle qu’à cause des failles matérielles qui affectent les CPU Intel il faut désactiver l’hyperthreading et s’attendre à une réduction des performances de 20 %

Source

Sharing is caring!

Leave a Reply