Intel a mis en oeuvre un processus complexe pour développer un patch destiné à corriger une faille découverte récemment dans les SINIT ACM, autrement appelés System INITialisation Authenticated Code Modules. Ces modules sont susceptibles de subir une attaque par dépassement de mémoire tampon et de laisser passer un malware capable de contourner la plate-forme TXT (Trusted Execution Technology) pour prendre le contrôle total de la machine infectée. La technologie TXT, propre aux processeurs et chipsets d'Intel (Core 2, Core i5 et i7 et enfin Xeon, voir liste compléte), combine des éléments matériels et logiciels. Elle a pour but de bloquer l'exécution de codes par un ensemble de signatures logicielles certifiées.
La mise en évidence de cette vulnérabilité par élévation de privilège revient à l'entreprise de sécurité Lab Invisible Things, dont les chercheurs avaient repéré une faille similaire dans les SINIT ACM il y a deux ans. En fait, selon Joanna Rutkowska, fondatrice et CEO de l'entreprise, le problème découvert en 2009 était un sous-ensemble de cette vulnérabilité nouvellement mise à jour. Si bien qu'elle se dit étonnée qu'Intel ait qualifié la gravité de cette vulnérabilité comme importante, alors qu'en 2009, le fondeur l'avait jugé comme critique. « Ce qui est vraiment intéressant dans cette attaque, ce sont les conséquences du mode de détournement de SINIT, notamment la capacité à contourner la TXT et le panneau de configuration LCP (Local Control Panel) d'Intel, mais aussi celle de compromettre le système de gestion de RAM (SMRAM), » a déclaré Joanna Rutkowska dans un blog.
Une vulnérabilité importante
Cette vulnérabilité est importante parce que la technologie Trusted Execution d'Intel sert d'extension matérielle aux microprocesseurs et aux chipsets du fondeur et son objectif est de fournir un mécanisme de protection contre les attaques logicielles. La TXT peut être utilisée par les entreprises pour contrôler la façon dont les informations sont stockées, traitées et échangées dans leurs systèmes. Intel a publié un avis ce lundi pour annoncer que la mise à jour des SINIT ACM et celle du microcode étaient disponibles afin de résoudre ce problème. Cependant, selon la CEO de Lab Invisible Things, le processus de correction a demandé un effort significatif à l'entreprise. « Intel a dû non seulement modifier les modules SINIT, mais aussi mettre à jour le microcode de tous les processeurs affectés. Le fondeur a dû également travailler avec les vendeurs de BIOS afin qu'ils livrent de nouveaux BIOS capables de charger inconditionnellement le microcode mis à jour (sans compter les mécanismes anti-rollback pour empêcher les BIOS et le microcode de revenir aux versions antérieures). Autant dire, un gros travail », explique le chercheur.
Pour ceux qui s'intéressent aux aspects techniques, Lab Invisible Things a publié un document de recherche qui décrit en détail le fonctionnement de la vulnérabilité et de l'exploit développé par les chercheurs pour contourner la TXT et le panneau de configuration LCP d'Intel. L'entreprise de sécurité conseille aux administrateurs système qui s'appuient sur cette technologie de demander les mises à jour du BIOS permettant de résoudre la vulnérabilité à leurs équipementiers respectifs et de les déployer dès que possible. Dans le cas où cette mise à jour ne serait pas encore disponible ou que la technologie n'est pas utilisée, Lab Invisible Things recommande tout bonnement de désactiver la TXT dans le BIOS.