MDS - Microarchitectural Data Sampling - CVE-2018-12130, CVE-2018-12126, CVE-2018-12127, et CVE-2019-11091

Récapitulatif

Quatre vulnérabilités ont été découvertes au niveau des processeurs, dont une catégorisée Importante par Red Hat Product Security. Si ces failles sont exploitées par un attaquant ayant un accès local au shell d'un système, les données du cache du CPU peuvent être exposées à des processus non autorisés. Un attaquant expérimenté pourrait utiliser ces failles pour lire la mémoire d'une instance virtuelle ou conteneurisée, ou du système hôte sous-jacent. Red Hat a préparé des mesures d'atténuation et a décrit en détails les mesures que les clients doivent prendre lorsqu'ils évaluent leur risque d'exposition et formulent leur réponse.

Contexte et détails du problème

Red Hat a été informé d'une série de problèmes d'implémentation microarchitecturale (hardware) qui pourraient permettre à un attaquant local non privilégié de contourner les restrictions de sécurité de mémoire classiques afin d'accéder en lecture à une mémoire privilégiée, normalement inaccessible. Ces failles peuvent également être exploitées par des codes malveillants s'exécutant à l'intérieur d'un conteneur. Ces problèmes affectent de nombreux microprocesseurs Intel modernes, nécessitant des mises à jour du noyau Linux, de la pile de virtualisation et du microcode du CPU. Les vulnérabilités ont été assignées CVE-2018-12130, avec un niveau d'impact catégorisé Important; CVE-2018-12126, CVE-2018-12127, et CVE-2019-11091 ​ sont considérés comme ayant un niveau d'impact Modéré.

À l'heure actuelle, ces failles spécifiques sont connues d'affecter les processeurs basés Intel, bien que Red Hat Product Security s'attende à ce que les chercheurs continuent à sonder les vulnérabilités SMT (Multi-Threading Simultané) non liées, sur une gamme importante de fournisseurs.

Des failles ont été trouvées dans la manière dont les designs des microprocesseurs Intel mettent en jeu plusieurs micro-optimisations de performance. L'exploitation des vulnérabilités fournit aux attaquants un canal secondaire pour accéder aux données récemment utilisées sur le système appartenant à d'autres processus, conteneurs, machines virtuelles, ou au noyau.

Ces vulnérabilités sont appelées MDS (Microarchitectural Data Sampling) parce qu'elles reposent sur la spéculation pour obtenir l'état qui reste dans les structures internes du CPU.

CVE-2018-12126 - Microarchitectural Store Buffer Data Sampling ( MSBDS )

Une faille a été trouvée dans de nombreux designs de microprocesseur Intel en rapport à une fuite possible d'information de la structure de mémoire tampon de stockage de processeur qui contient les additions récentes (writes) à la mémoire.

Les microprocesseurs Intel modernes implémentent des micro-optimisations niveau hardware pour améliorer les performances d'écriture des données dans les caches des CPU. L'opération d'écriture (write) est divisée en sous-opérations STA (STore Address) et STD (STore Data). Ces sous-opérations permettent au processeur de transférer la logique de génération d'adresses dans ces sous-opérations pour des écritures optimisées. Ces deux sous-opérations écrivent dans une structure de processeur répartie et partagée qui s'appelle mémoire tampon de processeur ou "processor store buffer".

La mémoire tampon du processeur est conceptuellement un tableau d'adresses, de valeurs et d'entrées 'is valid'. Comme les sous-opérations peuvent s'exécuter indépendamment les unes des autres, elles peuvent chacune mettre à jour l'adresse et/ou les colonnes de valeurs de la table indépendamment. Cela signifie qu'à différents moments, l'adresse ou la valeur peut être non valide.

Le processeur est en mesure de transmettre spéculativement des entrées à partir de la mémoire tampon du stockage. Une telle division conceptuelle utilisée permet à ce type de transfert d'utiliser spéculativement des valeurs périmées, telles qu'une mauvaise adresse, et de renvoyer les données d'un ancien store sans lien de parenté. Comme cela ne se produit que pour les charges qui seront rééditées à la suite de la résolution de la panne ou après avoir reçu une assistance, le programme n'a pas eu d'impact architectural, mais l'état du tampon de stockage peut être divulgué à un code malveillant soigneusement conçu pour récupérer ces données via une analyse des canaux latéraux.

Les entrées de la mémoire tampon du processeur sont également réparties entre le nombre de Hyper-Threads actifs. Certaines conditions telles que le changement de power-state peuvent réaffecter les entrées de mémoire tampon du processeur dans un état de demi-mise à jour à un autre thread sans s'assurer que les entrées aient été effacées.

Ce phénomène est connu sous le nom de Fallout dans le milieu des chercheurs.

CVE-2018-12127 - Microarchitectural Load Port Data Sampling ( MLPDS )

Les microprocesseurs utilisent les 'load ports'' pour effectuer des opérations de chargement à partir de la mémoire ou de l'E/S. Pendant une opération de chargement, le port de chargement reçoit les données de la mémoire ou du sous-système d'E/S, puis les transmet aux registres de l'unité centrale et aux opérations dans les pipelines de l'unité centrale.

Dans certaines implémentations, le bus de données de reprise (writeback) de chaque port de charge peut conserver les valeurs d'anciennes opérations de charge jusqu'à ce que de nouvelles opérations de charge écrasent ces données.

MLPDS peut révéler des données de port de chargement périmées à des acteurs malveillants en cas de :

• charge défectueuse/d'assistance SSE/AVX/AVX-512 de plus de 64 bits
• charge défectueuse/d'assistance qui enjambe une limite de 64 octets est présente.

Dans les cas ci-dessus, l'opération de chargement fournit spéculativement des valeurs de données périmées provenant des structures de données internes aux opérations dépendantes. La transmission spéculative de ces données ne finit pas par modifier l'exécution du programme, mais elle peut être utilisée comme un widget pour déduire spéculativement le contenu de la valeur des données d'un processus victime par l'accès temporel au port de chargement.

CVE-2018-12130 - Microarchitectural Fill Buffer Data Sampling ( MFBDS )

C'est la question qui comporte le plus de risques, et Red Hat l'a jugée Importante. Une faille a été découverte par les chercheurs dans la mise en œuvre des tampons de remplissage utilisés par les microprocesseurs Intel.

Un tampon de remplissage contient les données qui n'ont pas pu être stockées dans le cache de données L1 du processeur, suite à une tentative d'utilisation d'une valeur qui n'est pas présente. Lorsqu'une erreur de cache de données de niveau 1 a lieu dans un noyau Intel, le design du tampon de remplissage permet au processeur de poursuivre d'autres opérations pendant que la valeur d'accès est chargée à un noveau plus élevés de cache. Le design permet également de transmettre le résultat à l'unité d'exécution, en acquérant la charge directement sans avoir à l'écrire dans le cache de données de niveau 1.

Une opération de chargement n'est pas découplée de la même manière qu'un store, mais elle implique une opération de génération d'adresse (AGU) (Address Generation Unit). Si l'AGU génère un défaut (#PF, etc.) ou une assistance (bits A/D), le design classique d'Intel bloque la charge et l'émet à nouveau plus tard. Avec les design actuels, cela permet (à la place) aux opérations de spéculation ultérieures de voir temporairement une valeur de données transférée à partir de la fente de mémoire tampon de remplissage avant que le chargement n'ait effectivement eu lieu. Il est ainsi possible de lire les données récemment accédées par l'intermédiaire d'un autre thread si l'entrée du tampon de remplissage n'est pas écrasée.

Ce phénomène est connu sous le nom de RIDL ou ZombieLoad dans le milieu des chercheurs.

CVE-2019-11091 - Microarchitectural Data Sampling Uncacheable Memory (MDSUM)

On a trouvé une faille dans l'implémentation du "tampon de remplissage", un mécanisme utilisé par les CPU modernes lorsqu'un cache-miss a lieu sur le cache du CPU L1. Si un attaquant peut générer une opération de chargement susceptible d'engendrer une erreur de page, l'exécution continuera spéculativement avec des données incorrectes à partir du tampon de remplissage, tandis que les données seront récupérées dans les caches de niveau supérieur. Ce temps de réponse peut être mesuré pour estimer les données dans le tampon de remplissage.

Remerciements

Red Hat remercie Intel et ses partenaires dans l'industrie pour avoir signalé ce problème et avoir collaboré aux mesures d'atténuation des risques.

De plus, Red Hat remercie les rapporteurs originaux:
>Microarchitectural Store Buffer Data Sampling (MSBDS) - CVE-2018-12126
Cette vulnérabilité a été détectée par des employés Intel (en interne). Intel tient à remercier Ke Sun, Henrique Kawakami, Kekai Hu et Rodrigo Branco. Elle a été signalée indépendamment par Lei Shi - Qihoo - 360 CERT et par Marina Minkin, Daniel Moghimi, Moritz Lipp, Michael Schwarz, Jo Van Bulck, Daniel Genkin, Daniel Gruss, Berk Sunar, Frank Piessens, Yuval Yarom (¹University of Michigan, Worcester Polytechnic Institute, Graz University of Technology, imec-DistriNet, KU Leuven, University of Adelaide)

>Microarchitectural Load Port Data Sampling (MLPDS) - CVE-2018-12127
Cette vulnérabilité a été découverte en interne par les employés d'Intel et Microsoft. Intel tient à remercier Brandon Falk - Microsoft Windows Platform Security Team, Ke Sun, Henrique Kawakami, Kekai Hu, et Rodrigo Branco - Intel. Elle a été signalée indépendamment par Matt Miller - Microsoft, et par Stephan van Schaik, Alyssa Milburn, Sebastian Österlund, Pietro Frigo, Kaveh Razavi, Herbert Bos et Cristiano Giuffrida - groupe VUSec à VU Amsterdam.

Microarchitectural Fill Buffer Data Sampling (MFBDS) - CVE-2018-12130

Cette vulnérabilité a été découverte en interne par les employés d'Intel. Intel tient à remercier Ke Sun, Henrique Kawakami, Kekai Hu et Rodrigo Branco. Elle a été rapportée indépendamment par Giorgi Maisuradze - Microsoft Research, et par Dan Horea Lutas, et Andrei Lutas - Bitdefender, et par Volodymyr Pikhur, et par Stephan van Schaik, Alyssa Milburn, Sebastian Österlund, Pietro Frigo, Kaveh Razavi, Herbert Bos et Cristiano Giuffrida - groupe VUSec à VU Amsterdam et par Moritz Lipp, Michael Schwarz et Daniel Gruss - Graz University of Technology.

Microarchitectural Data Sampling Uncacheable Memory (MDSUM) - CVE-2019-11091

Cette vulnérabilité a été découverte en interne par les employés d'Intel. Intel tient à remercier Ke Sun, Henrique Kawakami, Kekai Hu et Rodrigo Branco. Elle a été trouvée indépendamment par Volodrmyr Pikhur, et par Moritz Lipp, Michael Schwarz, Daniel Gruss - Graz University of Technology, et par Stephan van Schaik, Alyssa Milburn, Sebastian Österlund, Pietro Frigo, Kaveh Razavi, Herbert Bos, et Cristiano Giuffrida - Groupe VUSec à VU Amsterdam.

Références supplémentaires

Pour plus d'informations sur ce genre de problèmes, consulter Intel’s Website

KCS: Simultaneous Multithreading in Red Hat Enterprise Linux

KCS: Disabling Hyper-Threading

KCS: CPU Side Channel Attack Index Page

KCS: Microcode availability for Pre-Haswell CPUs

KCS: Availability of Updated Intel CPU Microcode Addressing Microarchitectural Data Sampling (MDS) Vulnerability 

KCS:   Applying MDS CVE's patches on RHV hosts and manager node 

KCS: RHOS Mitigation for MDS ("Microarchitectural Data Sampling") Security Flaws

Vidéo:  All about MDS in about 3 minutes

Vidéo:  Longform MDS Technical Explanation

Blog: Deeper Look at the MDS Vulnerability

Blog: Modern IT security: Sometimes caring is NOT sharing