RIDL - Une autre attaque MDS dont le correctif en direct vous aurait épargné.

Tout le monde a entendu parler de Zombieload. Récemment rendue publique, Zombieload est une attaque par échantillonnage de données microarchitecturales (MDS) qui peut révéler des données privées en brisant les frontières de confidentialité entre les applications. Beaucoup de gens étaient (à juste titre) inquiets au sujet de Zombieload, et à la mi-mai, c'était une grande nouvelle.

Mais l'effervescence autour de Zombieload a occulté le fait que deux autres attaques par canal latéral liées à MDS sont en cours. Toutes sont des faiblesses des microprocesseurs Intel x86, et toutes sont inquiétantes.

L'un de ces deux autres est le RIDL, abréviation de "Rogue In-Flight Data Load". Les attaquants peuvent exploiter le RIDL pour faire fuir des données des tampons internes de l'unité centrale vulnérable (morceaux de mémoire allouée utilisés pour stocker et charger des données, tels que les tampons de remplissage de ligne et les ports de chargement). Ces fuites peuvent inclure des informations critiques telles que des mots de passe et des données personnelles. Le RIDL permet même aux attaquants de voler les données d'autres programmes exécutés sur le même système. La fuite peut se produire sans aucune hypothèse sur l'état des caches ou des structures de données de traduction contrôlées par un logiciel privilégié.

En bref, RIDL expose un processeur à des attaques à l'échelle du système provenant d'un code arbitraire non privilégié (y compris JavaScript dans le navigateur). C'est une mauvaise chose.

Et, comme avec Zombieload et toute autre attaque par canal latéral MDS, RIDL expose les déficiences dans la façon dont la plupart des gens protègent leurs noyaux Linux. 

En réaction au RIDL, Intel a fourni des mises à jour du microcode, et les fournisseurs ont déployé des mises à jour du système d'exploitation et de l'hyperviseur. Mais la seule façon d'appliquer réellement ces mises à jour indispensables est de redémarrer le système, afin de pouvoir patcher le noyau. La plupart des entreprises ne peuvent pas redémarrer leurs serveurs sans le programmer des mois à l'avance. Pendant ce délai, des vulnérabilités majeures connues se cachent dans leurs systèmes de production - une très mauvaise situation pour la sécurité et la conformité.

Mais avec Kernelcare, vous pouvez mettre à jour le microcode, désactiver SMT et appliquer le patch du noyau AUJOURD'HUI sans redémarrage. Sur une VM, en supposant que votre nœud soit mis à jour, vous n'avez même pas besoin de désactiver l'hyperthreading.

C'est l'avenir de la gestion des vulnérabilités telles que RIDL : Rebootless kernel patching.

Prenez contact dès aujourd'hui pour une démonstration gratuite de KernelCare.

Obtenez un essai GRATUIT de 7 jours avec assistance de KernelCare 

Lire la suite :

• Zombieload 2 : L'équipe KernelCare s'en occupe !
• Zombieload 2 : Les correctifs pour CVE-2018-12207 sont dans le flux de test !
• SWAPGS : Les correctifs KernelCare sont en route
• RIDL - Une autre attaque MDS dont le correctif en direct vous aurait épargné.
• Vulnérabilité de QEMU-KVM vhost/vhost_net Guest to Host Kernel Escape Vulnérable
• Nouvelle vulnérabilité découverte dans le noyau Linux, corrigée par KernelCare
• Panique et lenteur de SACK : Les correctifs KernelCare Live sont arrivés
• Des correctifs pour défaut de borne L1 (L1TF) sont disponibles.
• Rapport sur la vulnérabilité DDIO 'NetCat' d'Intel
• Fallout - l'attaque du canal secondaire du MDS qui n'est pas Zombieload