Le correctif Meltdown de Microsoft a rendu Windows 7 PC plus insécurisés

La vulnérabilité de Meltdown CPU était mauvaise, et Microsoft a encore aggravé la faille sur Windows 7, permettant à n’importe quelle application non privilégiée de lire le contenu et même d’écrire des données dans la mémoire du noyau du système d’exploitation.

Pour ceux qui ne le savaient pas, Specter et Meltdown étaient des failles de sécurité révélées par des chercheurs plus tôt cette année dans les processeurs d’Intel, ARM et AMD, laissant presque tous les PC, serveurs et téléphones portables sur la planète vulnérables au vol de données.

Peu de temps après que les chercheurs ont dévoilé les exploits de Spectre et Meltdown , les fournisseurs de logiciels, y compris Microsoft, ont commencé à publier des correctifs pour leurs systèmes exécutant une version vulnérable des processeurs.
Ulf Frisk , un chercheur suédois indépendant en sécurité, a découvert que la sécurité de Microsoft corrige les failles Meltdown sur les ordinateurs Windows 7, ce qui pourrait permettre aux pirates de lire la mémoire du noyau à une vitesse de 120 kbps. la vitesse de Gbps, ce qui rend le problème encore pire sur Windows 7 PC et Server 2008 R2 boîtes.
Selon Frisk, le problème avec les correctifs de début de Meltdown MS se produit en raison d’un seul bit (qui contrôle la permission d’accéder à la mémoire du noyau) accidentellement être basculé de superviseur seulement à n’importe quel utilisateur dans un traducteur virtuel-à-mémoire physique appelé PLM4, permettant à n’importe quelle application en mode utilisateur d’accéder aux tables de pages du noyau.
Le PML4 est la base de la hiérarchie de tables de pages en mémoire à 4 niveaux utilisée par l’unité de gestion de la mémoire du processeur (MMU) pour traduire les adresses de mémoire virtuelle d’un processus en adresses de mémoire physique dans la RAM.

Le bit correctement défini garantit normalement que le noyau a un accès exclusif à ces tables.
« Le bit d’autorisation Utilisateur / Superviseur a été défini sur Utilisateur dans l’entrée auto-référencée PML4, ce qui a rendu les tables de pages accessibles au code du mode utilisateur dans tous les processus.Les tables de pages ne doivent normalement être accessibles que par le noyau lui-même.

Buggy Patch permet de lire des gigaoctets de données en une seconde

De plus, étant donné que la table de pages PML4 a été localisée à une adresse de mémoire fixe dans Windows 7, "aucun exploit de fantaisie" n’est nécessaire pour exploiter la vulnérabilité Meltdown.
"Windows 7 a déjà fait le travail de cartographie dans la mémoire requise dans tous les processus en cours", a déclaré Frisk. "L’exploitation était juste une question de lecture et d’écriture sur une mémoire virtuelle in-process déjà mappée, pas besoin d’API ou de syscalls sophistiqués - juste en lecture et écriture standard !"
Une fois que l’accès en lecture / écriture a été acquis aux tables de pages, il serait "trivialement facile" d’accéder à la totalité de la mémoire physique, "à moins qu’elle ne soit protégée par des tables EPT".
Tout ce que les attaquants ont à faire est d’écrire leurs propres PTE (Table Table Entries) dans les tables de pages afin d’accéder à la mémoire physique arbitraire.
Frisk a dit qu’il n’a pas été en mesure de lier la nouvelle vulnérabilité à quoi que ce soit sur la liste publique des vulnérabilités et des expositions communes. Il a également invité les chercheurs à tester la faille à l’aide d’un kit d’exploit qu’il a publié sur GitHub.

MISE À JOUR : Microsoft publie un correctif d’urgence

Dans la foulée de la découverte du chercheur, Microsoft a publié un correctif d’urgence jeudi pour la vulnérabilité (CVE-2018-1038) présentée comme un correctif Meltdown publié par la société plus tôt cette année.
La mise à jour de sécurité hors bande pour Microsoft Windows 7 et Windows Server 2008 R2 "résout une vulnérabilité d’élévation de privilèges dans le noyau Windows dans la version 64 bits (x64) de Windows."
Selon l’ avis de Microsoft , l’erreur d’élévation de privilèges se produit lorsque le noyau Windows ne gère pas correctement les objets dans la mémoire. L’exploitation réussie de cette faille pourrait permettre à un attaquant d’exécuter du code arbitraire en mode noyau.
"Un attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer de nouveaux comptes avec des droits d’utilisateur complets", indique l’avis.
Aucune autre version de système d’exploitation Windows n’est affectée, sauf Windows 7 Service Pack 1 (x64) et Windows Server 2008 R2 Service Pack 1 (x64).
Il est donc fortement recommandé à tous les administrateurs et utilisateurs de Windows 7 et Windows 2008R2 de mettre à jour leurs systèmes dès que possible.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 31 |

Actu en image