ClickCease Attaques Ahoi : Une nouvelle menace pour les machines virtuelles confidentielles dans l'informatique dématérialisée

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez plus de 4 500 professionnels de Linux et de l'Open Source!

2 fois par mois. Pas de spam.

Attaques Ahoi : Une nouvelle menace pour les machines virtuelles confidentielles dans l'informatique dématérialisée

par Rohan Timalsina

Le 17 avril 2024 - L'équipe d'experts de TuxCare

Des chercheurs de l'ETH Zurich ont découvert une nouvelle méthode d'attaque, baptisée "Ahoi Attacks", qui menace la sécurité des machines virtuelles confidentielles (CVM) dans les environnements en nuage. Décrite comme une famille d'attaques, elle se décline en deux variantes : Heckler et WeSee. Cet article explore les détails techniques de ces attaques et leur impact potentiel.

 

Heckler

 

Heckler exploite un hyperviseur malveillant pour injecter des interruptions non temporisées malveillantes dans les CVM. Ces interruptions manipulent le flux de données et rompent l'intégrité et la confidentialité de la machine virtuelle. Les identifiants CVE attribués sont CVE-2024-25744 et CVE-2024-25743.

L'attaque vise spécifiquement les CVM protégés par des environnements d'exécution de confiance (TEE) basés sur le matériel. Ces TEE, tels que Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP) d'AMD et Trust Domain Extensions (TDX) d'Intel, sont conçus pour protéger les machines virtuelles dans le nuage contre tout accès non autorisé, même de la part du fournisseur de services en nuage lui-même.

Cependant, les chercheurs ont découvert que les hyperviseurs, le logiciel responsable de la gestion des machines virtuelles, conservent un certain contrôle sur les tâches cruciales de gestion des ressources, telles que les interruptions. En exploitant ce contrôle, ils ont pu lancer des activités malveillantes au sein du CVM ciblé.

Les chercheurs ont divulgué leurs découvertes de manière responsable aux principaux acteurs technologiques, dont Intel et AMD, et aux fournisseurs de services en nuage tels que AWS, Microsoft et Google, avant de les rendre publiques.

AMD a reconnu le problème et pense que la vulnérabilité réside dans l'implémentation de SEV-SNP par le noyau Linux. Bien qu'Intel n'ait pas fait de déclaration officielle, les chercheurs indiquent que leurs conclusions correspondent à l'évaluation d'AMD.

Heureusement, des correctifs du noyau Linux et des stratégies d'atténuation sont disponibles pour remédier à cette vulnérabilité. En outre, AMD propose des fonctions de sécurité matérielle qui pourraient potentiellement empêcher de telles attaques, mais ces fonctions ne sont pas encore prises en charge par le noyau Linux.

En ce qui concerne les fournisseurs de services en nuage, Azure de Microsoft ne semble pas affecté. AWS confirme que son service EC2 ne repose pas sur des technologies vulnérables, mais reconnaît l'impact sur Amazon Linux. L'entreprise prévoit de résoudre les problèmes liés au noyau dans une prochaine mise à jour. Google n'a pas encore commenté l'impact potentiel sur ses services en nuage.

 

WeSee

 

Une deuxième variante de l'attaque Ahoi, appelée WeSee, cible spécifiquement AMD SEV-SNP. Cette attaque utilise une interruption particulière pour voler des informations sensibles sur la machine virtuelle, comme les clés de session TLS du noyau. Elle peut également corrompre les données du noyau afin de désactiver les pare-feux et d'établir un shell root, ce qui permet un contrôle total de la VM. Elle est répertoriée sous la référence CVE-2024-25742.

 

Conclusion

 

Il est essentiel pour les entreprises qui utilisent des CVM dans l'informatique dématérialisée de se tenir informées de ces évolutions et d'appliquer les correctifs de sécurité. En comprenant les attaques Ahoi et en prenant les mesures appropriées, les entreprises peuvent protéger leurs données sensibles et maintenir l'intégrité de leurs environnements en nuage.

 

Les sources de cet article comprennent un article de SecurityWeek.

Résumé
Attaques Ahoi : Une nouvelle menace pour les machines virtuelles confidentielles dans l'informatique dématérialisée
Nom de l'article
Attaques Ahoi : Une nouvelle menace pour les machines virtuelles confidentielles dans l'informatique dématérialisée
Description
Découvrez la menace des attaques Ahoi sur les machines virtuelles confidentielles (CVM). Découvrez les derniers résultats de la recherche et les efforts d'atténuation.
Auteur
Nom de l'éditeur
de TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Devenez rédacteur invité de TuxCare

Courrier

Aidez-nous à comprendre
le paysage Linux !

Répondez à notre enquête sur l'état de l'Open Source et vous pourrez gagner l'un des nombreux prix, dont le premier est d'une valeur de 500 $ !

Votre expertise est nécessaire pour façonner l'avenir d'Enterprise Linux !