« Aujourd'hui, nous avons publié INTEL-SA-00329, Intel® Processors Data Leakage Advisory concernant deux vulnérabilités qui ont été révélées publiquement par des chercheurs. Dans le cadre de notre engagement envers la transparence, l'avis a été publié avant que nos atténuations prévues ne soient disponibles et nous prévoyons de publier des atténuations via notre processus normal de mise à jour de la plate-forme Intel (IPU) dans un proche avenir.
« Ces problèmes sont étroitement liés à INTEL-SA-00233, publié en novembre 2019, qui traitait d'un problème appelé abandon asynchrone des extensions de synchronisation transactionnelle (TSX), ou TAA. À l'époque, nous avons confirmé la possibilité qu'une certaine quantité de données puissent encore potentiellement être déduites via un canal latéral et seraient traitées dans les futures mises à jour du microcode.
« Depuis mai 2019, en commençant par Microarchitectural Data Sampling (MDS), puis en novembre avec TAA, nous et nos partenaires logiciels système avons publié des atténuations qui ont cumulativement et considérablement réduit la surface d'attaque globale pour ces types de problèmes. Nous continuons de mener des recherches dans ce domaine - en interne et en collaboration avec la communauté de recherche externe ».
Cette dernière mise à jour intervient après que la société a publié deux correctifs distincts en mai et novembre de l'année dernière.
Par rapport aux défauts MDS traités par Intel dans ces deux correctifs précédents, ces derniers ont quelques limitations. Pour commencer, l'une des vulnérabilités, L1D, ne fonctionne pas sur les puces les plus récentes d'Intel. De plus, un hacker ne peut pas exécuter l'attaque à l'aide d'un navigateur Web. Intel dit également qu'il « n'a pas connaissance » qu'une autre entité se serait servie de ces failles en dehors du laboratoire.
Cependant, comme lorsque la société a publié son deuxième correctif MDS en novembre, les chercheurs en sécurité ont critiqué Intel pour son approche. Dans un billet de blog, l'équipe qui a découvert la faille a expliqué que :
« Le premier problème, qu'Intel appelle L1D Eviction Sampling (L1DES), est une variante RIDL qui fuit des L1D evictions (répertoriée comme étant CVE-2020-0549). Il peut sembler que parfois l'histoire se répète, car c'est encore quelque chose que nous avions déjà montré dans notre article RIDL d'origine. Nous avons également mentionné explicitement que, à chaque changement de contexte, "le cache L1 entier doit être vidé en premier, car les entrées passent par les LFB" pour atténuer correctement RIDL. Nous avons supprimé cette phrase dans la version originale du document RIDL publié le 14 mai 2019, car Intel n'avait pas encore atténué la variante RIDL basée sur les L1D evictions (qui vont devenir finalement L1DES). Depuis lors, nous avons passé des mois à essayer de convaincre Intel que les fuites des expulsions L1D étaient possibles et devaient être corrigées.
« Le 25 octobre 2019, nous avons signalé à Intel que cette variante contournerait leur dernière atténuation VERW (tout comme un PoC partagé avec Intel le 10 mai 2019), ce qui a finalement permis à Intel de reconnaître le problème L1D eviction et de demander un autre embargo (L1DES). Nous avons appris qu'Intel n'avait pas trouvé ce problème en interne et que le seul autre chercheur indépendant était l'équipe Zombieload, qui a signalé un PoC à Intel en mai 2019. Notre PoC RIDL-L1DES est disponible sur GitHub ».
Dans un addendum à leur document d'origine, il y a un sentiment d'exaspération quant à la façon de procéder de l'entreprise. « Nous réitérons que les vulnérabilités de classe RIDL ne sont pas triviales à corriger ou à atténuer, et les stratégies d'atténuation "ponctuelles" actuelles pour résoudre ces problèmes sont discutables », regrettent les chercheurs. « De plus, nous remettons en question l'efficacité des processus de divulgation d'une année et nous nous inquiétons également de leur impact perturbateur sur le processus académique ».
Intel a minimisé les critiques, affirmant qu'il a pris des mesures importantes pour réduire le danger que les failles représentent pour ses processeurs.
Source : Intel, chercheurs, addendum
Et vous ?
Que pensez-vous de cette situation ?
Penchez-vous plus du côté des chercheurs, qui estiment qu'Intel a minimisé leurs conclusions, ou du côté d'Intel ? Dans quelle mesure ?