Vulnérabilités Intel : des millions de machines vulnérables !

Personne ne se réjouit de la découverte de vulnérabilités (quoi que !), mais il y en a qui forcément sont encore plus perturbantes que d’autres. C’est d’autant plus le cas lorsque les vulnérabilités affectent un composant matériel, en particulier lorsqu’il s’agit de processeurs équipant la plus grande partie des ordinateurs et serveurs du marché. , l’impact est très difficile à quantifier, on peut parler de plusieurs millions de machines impactées à travers le monde : ordinateurs, serveurs, IOT.

Patcher des applicatifs, ça n’amuse personne, patcher des systèmes d’exploitation, en particulier Windows, encore moins, mais lorsqu’il s’agit de patcher des Firmwares, c’est un véritable changement de paradigme !

Une politique de « patch management », c’est souvent difficile à mettre en place dans un environnement de production. Pour les systèmes Windows et certains applicatifs, il est possible de réaliser des mises à jour automatiquement et en masse depuis un serveur distant, avec des otuils comme SCCM / WSUS par exemple. Cela est réalisable sur des postes clients. Sur des serveurs, c’est déjà beaucoup plus complexe, on ne peut pas se permettre d’installer des mises à jours sans réaliser des tests afin de s’assurer que notre « patching » n’a pas créé de nouveaux bugs sur nos applicatifs métiers. Entre les redémarrages et les tests, les serveurs sont bien évidemment, beaucoup moins souvent mis à jour, même si aujourd’hui, avec la virtualisation et le processus de « snapshot », il est beaucoup plus simple de revenir en arrière en cas de problème.

Dans le cas d’un uprade de firmware, c’est beaucoup plus délicat. Cela implique l’indisponibilité d’un serveur physique pendant un certain temps, avec un risque de « plantage » et sans la bouée de secours « snapshot ». Cela implique également de réaliser cette opération manuellement, sur l’ensemble des machines. Autant se dire, qui va réellement patcher l’intégralité de son infra et de son parc ?

Alors ces vulnérabilités Intel, qu’en est-il réellement ?

Elles sont nombreuses et affectent plusieurs outils Intel :

• Intel® Management Engine (ME) 11.x: CVE-2017-5705 , CVE-2017-5708, CVE-2017-5711, CVE-2017-5712
• Intel® Server Platform Service 4.0.x.x : CVE-2017-5706 , CVE-2017-5709
• Intel® Trusted Execution Engine (TXE) 3.0 : CVE-2017-5707 , CVE-2017-5710

Exécution de code arbitraire à distance, élévation de privilèges sur le système d’exploitation... pour faire court, c’est moche.

Matériellement, les processeurs suivants sont vulnérables :
6th, 7th, and 8th generation Intel® Core™ Processor Family:
Intel® Xeon® Processor E3-1200 v5 and v6 Product Family
Intel® Xeon® Processor Scalable Family
Intel® Xeon® Processor W Family
Intel Atom® C3000 Processor Family
Apollo Lake Intel Atom® Processor E3900 series
Apollo Lake Intel® Pentium® Processors
Intel® Celeron® N and J series Processors

Les constructeurs Dell et Lenovo proposent déjà de nouvelles versions de bios pour les ordinateurs et serveurs imapctés :

Intel propose un outil (Windows & Linux) permettant de tester la vulnérabilité d’une machine :