Le CERT (centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques) a lancé ce 9 mai une série d'avis de sécurité relative en particulier à la découverte d'une vulnérabilité, CVE-2018-8897, affectant de nombreux systèmes d'exploitation dont Windows, Linux (Ubuntu, Red Hat, SuSE) et également Xen. Ces avis font suite à la révélation le 8 mai 2018 de deux chercheurs en sécurité, Nick Peterson d'Everdox Tech et Nemanja Mulasmajic de Triplefault, concernant l'existence d'une mauvaise interprétation du guide de programmation système destiné aux développeurs de logiciels pour architectures Intel 64 et IA-32. Cette erreur d'interprétation porte plus précisément sur les jeux d'instructions POP SS (dépilage des données dans le registre) et MOV SS (déplacement des données données dans le registre) exécutés dans des opérations de deboggage. 

« Le guide laissait penser aux développeurs que ces deux instructions étaient in-interruptibles et allaient s'exécuter l'une derrière l'une de manière systématique sans qu'un autre programme puisse s'exécuter entre les deux », nous a expliqué Hervé Schauer, expert en cybersécurité. « Le fait que finalement il puisse y avoir une interruption se produisant entre ces deux instructions créé les conditions pour pouvoir détourner sur certains OS les privilèges ». Concrètement, de très nombreux systèmes d'exploitation installés sur des machines physiques (Windows, MacOS, Linux mais également FreeBSD...) aussi bien sur des postes de travail que des serveurs, sont concernés par cette vulnérabilité CVE-2018-8897. Certains environnements virtualisés sont également concernés comme VMware (vCenter, vSphere...) ou encore Xen (systèmes sous architecture x86 mais pas ARM).

Lecture en mémoire de données sensibles et contrôle des fonctions OS de bas niveau

Un très grand nombre de fournisseurs d'OS ont lancé leurs correctifs sachant que les environnements virtualisés (Xen, VMware...) ne semblent pas épargnés. « Il y a une surface d'attaque assez rare, touchant Intel mais également AMD, tous les OS et les systèmes virutalisés [...] pour les opérateurs de cloud, le risque est que l'on puisse contourner les mécanismes de virtualisation de n'importe quelle instance pour savoir ce qui est exécuté dans une autre », alerte Hervé Schauer. « Il n'est pas très difficile pour un attaquant de développer en quelques heures un code d'exploit ciblant un système qui les intéresse à partir du code fournit dans GitHub par les deux chercheurs pour tester si un système est vulnérable ».

L'exploitation de cette vulnérabilité peut déboucher sur plusieurs soucis allant du dysfonctionnement système à la possibilité pour un attaquant de bénéficier d'une élévation de privilèges, ou encore de porter atteinte à l'intégrité et à la confidentialité des données en permettant de lire celles les plus sensibles en mémoire ou contrôler les fonctions du système d'exploitation de bas niveau, précise le CERT. « Ces pléthores de correctifs sont importants car il est assez facile de pirater ou faire planter les systèmes sans accès physique à la machine. La surface d'attaque est fantastique et affecte tous les OS et tous les systèmes de virtualisation, ce n'est pas tous les jours que ça arrive et c'est pourquoi il faut absolument appliquer les correctifs », insiste Hervé Schauer.