OVH – L1 Terminal Fault (L1TF) / Foreshadow disclosure

Dans le cadre de notre partenariat avec Intel, nous avons été informés de la découverte d’un vecteur exploitant les failles de type « attaques par canal auxiliaire d’exécution spéculative » (speculative execution side-channel attaks). Cette nouvelle vulnérabilité,  L1 Terminal Fault (L1TF), ou « Foreshadow », est donc apparentée aux failles Spectre et Meltdown dévoilées en janvier puis mai 2018.

 

Qu'est-ce que le VAC?

Baptisée L1 Terminal Fault (L1TF) ou « Foreshadow » , cette vulnérabilité concerne les processeurs dotés d’une technologie SMT (plus connue sous l’appellation Hyper-Threading chez Intel). Elle pourrait permettre à un code malveillant exécuté sur un thread (fil) d’accéder à des données du cache L1 de l’autre thread, au sein d’un même cœur.

L1TF / Foreshadow est une vulnérabilité très complexe à mettre en œuvre et seul une démonstration de faisabilité (ou proof of concept), élaborée en laboratoire, a permis de valider son existence. Bien qu’aucun élément ne permette de penser qu’elle puisse avoir été réellement exploitée, trois identifiants CVE (de niveau « high ») ont déjà été créés :

  • L1 Terminal Fault – SGX (CVE-2018-3615) 7.9 High CVSS : 3.0/AV : L/AC : L/PR : N/UI : N/S : C/C : H/I : L/A : N.
  • L1 Terminal Fault – OS, SMM (CVE-2018-3620)
7.1 High CVSS : 3.0/AV : L/AC : L/PR : N/UI : N/S : C/C : H/I : N/A : N.
  • L1 Terminal Fault – VMM (CVE-2018-3646)
7.1 High CVSS : 3.0/AV : L/AC : L/PR : N/UI : N/S : C/C : H/I : N/A : N.

 

Comment se protéger de cette faille?

La mitigation de ces trois variantes de L1 Terminal Fault (L1TF) repose sur deux actions :

  • l’utilisation des micro-codes fournis depuis mai (via le boot UEFI d’OVH et/ou via le système d’exploitation) ;
  • la mise à jour des systèmes d’exploitation et des noyaux (les principaux éditeurs d’OS et d’hyperviseurs vont commencer la distribution de correctifs).

OVH appliquera ces correctifs sur ses machines hôtes lorsque ces derniers seront disponibles et que nous aurons, comme à l’accoutumée, validés en interne l’ensemble de nos tests de non-régression.

Les clients possédant une offre managée (hébergement web, courriels, etc.) n’ont donc aucune action à effectuer.

En parallèle, pour les clients disposant d’un accès racine à leurs infrastructures (serveurs dédiés, VPS, Cloud Public, Cloud Privé, etc.), une mise à jour du système d’exploitation et des noyaux (https://docs.ovh.com/fr/dedicated/mettre-a-jour-kernel-serveur-dedie/) permettra de les sécuriser.

 

Précisions concernant la variante CVE-2018-3646

Dans le cas particulier de la variante 3646 de Foreshadow, un délai pourrait être nécessaire aux éditeurs pour proposer un correctif. En attendant celui-ci, une manière de se prémunir de cette dernière est de désactiver l’Hyper-Threading. Selon les cas, il est possible de le désactiver directement depuis le système d’exploitation (Linux, Windows, …). D’après nos informations, VMware ESXi devrait offrir cette fonctionnalité dans une prochaine mise à jour.

Attention cependant, l’impact de cette opération en termes de performances peut être très important. Compte tenu de la complexité d’exploitation de cette faille, nous conseillons donc d’attendre les recommandations de l’éditeur du système d’exploitation ou de l’hyperviseur utilisé avant de procéder à une désactivation de l’Hyper-Threading.

 

Recommandations générales

Comme toujours, nous encourageons donc nos clients à simplement garder leurs systèmes à jour afin de garantir un maximum d’efficacité aux mesures de protection mises en place.

En tant qu’hébergeur et fournisseur mondial de services infonuagiques, nous travaillons en étroite collaboration avec nos partenaires, fabricants comme éditeurs, afin d’améliorer chaque jour la sécurité de nos infrastructures. Nous appliquons patchs et correctifs lorsque de nouvelles vulnérabilités sont découvertes, en complément d’autres mesures internes de protection.

Cette vulnérabilité L1 Terminal Fault (L1TF) / Foreshadow ne fait pas exception à la règle. Mais face à la médiatisation de sa découverte et fidèles aux valeurs de transparence d’OVH, nous souhaitions via ce message répondre aux interrogations de nos clients.

 

Pour plus d’information :

http://travaux.ovh.net/?do=details&id=33475

https://foreshadowattack.eu/

https://software.intel.com/security-software-guidance/software-guidance/l1-terminal-fault

Liens vers les pages des éditeurs :