Synthèse

Le 14 mai 2019, Intel a publié des informations concernant une nouvelle sous-classe de vulnérabilités de canal auxiliaire d’exécution spéculative appelée « Microarchitectural Data Sampling ».

Un attaquant qui parviendrait à exploiter ces vulnérabilités pourrait lire des données privilégiées sur des limites approuvées. Dans un environnement de ressources partagées (dans une configuration de services cloud, par exemple), ces vulnérabilités pourraient permettre à une machine virtuelle d’accéder de façon incorrecte à des informations sur une autre machine. Dans un scénario hors navigation sur un système autonome, un attaquant aurait besoin d’un accès préalable au système ou devrait pouvoir exécuter une application spécialement conçue sur le système cible pour pouvoir exploiter ces vulnérabilités.

Ces vulnérabilités sont les suivantes :

• CVE-2018-12126 - Microarchitectural Store Buffer Data Sampling (MSBDS) 
• CVE-2018-12130 - Microarchitectural Fill Buffer Data Sampling (MFBDS)
• CVE-2018-12127 - Microarchitectural Load Port Data Sampling (MLPDS)
• CVE-2019-11091 - Microarchitectural Data Sampling Uncacheable Memory (MDSUM)

Important : Ces vulnérabilités peuvent concerner d’autres systèmes d’exploitation et fournisseurs de services. Microsoft vous conseille de rechercher des instructions auprès de votre fournisseur correspondant.

Microsoft a publié des mises à jour logicielles pour contribuer à atténuer ces vulnérabilités. Pour bénéficier de toutes les protections disponibles, des mises à jour du microprogramme (microcode) et des mises à jour logicielles sont requises. Cela peut concerner notamment le microcode des fabricants d’appareils OEM. Dans certains cas, l’installation de ces mises à jour a un impact sur les performances. Microsoft a également pris des mesures pour sécuriser ses services cloud.

À l’heure actuelle, Microsoft ne dispose d’aucune information faisant état d’une utilisation de ces vulnérabilités dans le but d’attaquer des clients. Microsoft continue de collaborer étroitement avec des partenaires du secteur, notamment des fabricants de puces, des fabricants de matériel OEM et des fournisseurs d’application, afin de protéger ses clients.

Actions recommandées

Pour que vous puissiez protéger votre système contre ces vulnérabilités, Microsoft vous recommande de prendre les mesures suivantes, ainsi que de consulter les sections suivantes pour obtenir des liens vers des informations supplémentaires correspondant à votre situation :

1. La meilleure protection est de maintenir les ordinateurs à jour. notamment en installant des mises à jour du système d’exploitation et du microcode.

• Pour bénéficier d’une protection complète, vous devrez peut-être désactiver l’hyperthreading (également appelé « multithreading simultané » (SMT, Simultaneous Multi Threading)). Pour obtenir des instructions relatives à la protection des appareils Windows, consultez l’article 4073757 de la Base de connaissances.
• Les fabricants OEM peuvent également fournir des instructions supplémentaires. Si vous utilisez des produits Surface, consultez l’article 4073065 de la Base de connaissances Microsoft.

2. Si vous êtes une entreprise, Microsoft vous recommande de consulter cet avis en détail et de vous inscrire au service de notification de sécurité pour être averti en cas de modification du contenu de cet avis. Consultez la page Service de notification de sécurité de Microsoft.
3. Les développeurs de logiciels doivent consulter les instructions pour les développeurs C++ en ce qui concerne les canaux auxiliaires d’exécution spéculative.
4. Vérifiez l’état des protections pour les différentes vulnérabilités en exécutant le script PowerShell Get-SpeculationControlSettings. Pour plus d’informations et pour obtenir le script PowerShell, consultez l’article Présentation des résultats du script PowerShell Get-SpeculationControlSettings.

Utilisateurs de clients Microsoft Windows

Si vous utilisez les systèmes d’exploitation clients Windows, vous devez appliquer des mises à jour du microprogramme (microcode) et des mises à jour logicielles. Pour plus d’informations, consultez l’article 4073119 de la Base de connaissances Microsoft. Microsoft publie les mises à jour du microcode validées par Intel disponibles pour les systèmes d’exploitation Windows 10. Consultez l’article 4093836 de la Base de connaissances Microsoft pour obtenir les mises à jour actuelles du microcode Intel.

De plus, vous devez vérifier si votre fabricant OEM fournit des instructions supplémentaires sur les mises à jour et les atténuations. L’article 4073065 du support Surface contient des informations supplémentaires pour les clients Surface.

Utilisateurs de Microsoft Windows Server

Si vous utilisez les systèmes d’exploitation serveurs Windows répertoriés dans le tableau des produits concernés, vous devez appliquer des mises à jour du microprogramme (microcode) et des mises à jour logicielles, ainsi que configurer les protections. Pour plus d’informations, y compris les solutions de contournement, consultez l’article 4072698 de la Base de connaissances Microsoft.

Microsoft Azure a pris des mesures pour corriger les failles de sécurité au niveau de l’hyperviseur afin de protéger les machines virtuelles Windows Server exécutées dans Azure. Des informations supplémentaires sont disponibles ici.

Utilisateurs de Microsoft Cloud

Microsoft a déjà déployé des atténuations sur ses services cloud. Des informations supplémentaires sont disponibles ici.

Utilisateurs de Microsoft SQL Server

Si vous utilisez Microsoft SQL Server, vous devez suivre les instructions décrites dans l’article 4073225 de la Base de connaissances Microsoft.

Utilisateurs de Microsoft HoloLens

Les mises à jour pour Windows 10 pour HoloLens sont disponibles pour les clients HoloLens par le biais de Windows Update.

Après l’application de la mise à jour de sécurité Windows de février 2018, les clients HoloLens ne doivent entreprendre aucune action supplémentaire pour mettre à jour le microprogramme de leur appareil. Ces atténuations seront également incluses dans toutes les versions futures de Windows 10 pour HoloLens.

Impact potentiel sur les performances

L’impact varie en fonction de la génération matérielle et de l’implémentation par le fabricant de puces. Pour la plupart des appareils grand public, l’impact sur les performances peut ne pas être perceptible. Certains clients devront désactiver l’hyperthreading (SMT) afin de répondre entièrement au risque lié aux vulnérabilités MDS. Lors de tests, Microsoft a constaté un certain impact sur les performances lié à ces atténuations, en particulier lorsque l’hyperthreading est désactivé. Microsoft donne la priorité à la sécurité de ses logiciels et services et a pris la décision d’implémenter certaines stratégies d’atténuation afin de renforcer la sécurité de ses produits. Dans certains cas, les atténuations ne sont pas activées par défaut afin de permettre aux utilisateurs et aux administrateurs d’évaluer l’impact sur les performances et l’exposition aux risques avant de décider d’activer les atténuations. Nous continuons de collaborer avec des fournisseurs de matériel afin d’améliorer les performances tout en préservant un degré de sécurité élevé.

Références

Pour plus d’informations d’Intel, consultez les liens suivants :

• Avis de sécurité Intel (Intel-SA-00233) : https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00233.html
• Instructions de sécurité des logiciels pour les développeurs : https://software.intel.com/security-software-guidance/software-guidance/microarchitectural-data-sampling
• MDS : https://www.intel.com/content/www/us/en/architecture-and-technology/mds.html
• www.intel.com/securityfirst

Forum aux questions

1. Quand les mises à jour du microprogramme seront-elles disponibles ?

Si vous possédez un appareil non-Microsoft, nous vous recommandons de contacter votre fabricant OEM pour obtenir cette information.

2. Y aura-t-il des mises à jour pour les systèmes d’exploitation Windows ?

Oui. Consultez le tableau des mises à jour de sécurité.

3. J’utilise Windows 10 pour systèmes 32 bits. La publication de septembre 2019 contient des mises à jour pour toutes les autres versions 32 bits de Windows. Existe-t-il une mise à jour pour mon système ?

MISE À JOUR : Avec la publication des mises à jour de sécurité d’octobre 2019, des protections sont désormais disponibles pour Windows 10 pour systèmes 32 bits. Consultez le tableau des mises à jour de sécurité pour obtenir les liens de téléchargement et d’installation de la mise à jour.

Les protections pour Windows 10 pour systèmes 32 bits ne sont pas incluses dans la publication de septembre 2019, mais seront proposées très bientôt dans une publication ultérieure. Dès qu’elle sera disponible, vous serez prévenu au moyen d’une révision de cet avis. Si vous souhaitez être prévenu dès que la mise à jour sera disponible, Microsoft vous recommande de vous inscrire au service de notification de sécurité pour être averti en cas de modification du contenu de cet avis. Consultez la page Service de notification de sécurité de Microsoft.

4. Où puis-je trouver des informations sur les autres vulnérabilités de canal auxiliaire d’exécution spéculative ?

• Pour obtenir des informations sur les instructions de Microsoft concernant les vulnérabilités Spectre et Meltdown, consultez l’avis ADV180002 | Instructions pour atténuer les vulnérabilités de canal auxiliaire d’exécution spéculative.
• Pour plus d’informations sur les instructions de Microsoft concernant la vulnérabilité CVE-2018-3639, consultez l’avis ADV180012 | Instructions de Microsoft concernant la vulnérabilité « Speculative Store Bypass ».
• Pour plus d’informations sur les instructions de Microsoft concernant la vulnérabilité CVE-2018-3640, consultez l’avis ADV180013 | Instructions de Microsoft concernant la vulnérabilité « Rogue System Register Read »
• Pour plus d’informations sur les instructions de Microsoft concernant les vulnérabilités L1 Terminal Fault, consultez l’avis ADV180018 | Instructions de Microsoft pour atténuer la variante L1TF.