Google partage une preuve de concept de Spectre qui cible les moteurs Javascript

0

Google a publié une preuve de concept en Javascript pour démontrer la praticité de l’utilisation des exploits Spectre ciblant les navigateurs Web pour accéder aux informations à partir de la mémoire d’un navigateur.

Selon l’équipe de sécurité de Google, la preuve de concept partagée fonctionne à travers un large éventail d’architectures de processeurs, de systèmes d’exploitation et de générations de matérielles.

Les mécanismes de sécurité ajouté aux navigateurs Web pour protéger les utilisateurs contre les attaques Spectre (l’isolement de site, les iframes hors processus, Cross-Origin Read Blocking et autres politiques Cross-Origin) ne bloquent pas réellement les tentatives d’exploitation.

Au lieu de cela, ils protègent les données sensibles des utilisateurs contre les fuites en les déplaçant hors de la mémoire accessible pendant les attaques.

Google conseille aux développeurs web d’utiliser de nouveaux mécanismes de sécurité pour « atténuer les attaques matérielles de type Spectre et les fuites courantes de sites web ».

L’équipe de sécurité de la plate-forme Web de Chrome fournit également aux développeurs des conseils pour le développement Web Post-Spectre et pour atténuer les attaques par canal auxiliaire.

Outre les protections standard telles que x-content-type-options et X-Frame-Options en-têtes, Google recommande d’activer les politiques suivantes dans le cadre des efforts en cours pour atténuer les attaques Spectre:

  • Cross-Origin Resource Policy (CORP) et Fetch Metadata Request Headers permettent aux développeurs de contrôler quels sites peuvent intégrer leurs ressources, telles que des images ou des scripts, empêchant ainsi la livraison de données à un processus de rendu du navigateur contrôlé par l’attaquant. Voir resourcepolicy.fyi et web.dev/fetch-metadata.
  • Cross-Origin Opener Policy (COOP) permet aux développeurs de s’assurer que leur fenêtre d’application ne recevra pas d’interactions inattendues d’autres sites Web, permettant au navigateur de l’isoler dans son propre processus. Cela ajoute une protection importante au niveau du processus, en particulier dans les navigateurs qui ne permettent pas l’isolement complet du site; voir web.dev/coop-coep.
  • Cross-Origin Embedder Policy (COEP) garantit que toutes les ressources authentifiées demandées par l’application ont explicitement choisi d’être chargées. Aujourd’hui, pour garantir l’isolement au niveau des processus pour les applications hautement sensibles dans Chrome ou Firefox, les applications doivent permettre à la fois COEP et COOP; voir web.dev/coop-coep.

L’équipe de sécurité de Google a également créé un prototype d’extension Chrome nommé Spectroscope pour aider les ingénieurs de sécurité et les développeurs web à protéger leurs sites Web contre Spectre.

Spectroscope fonctionne en scannant des applications Web pour trouver des ressources qui peuvent nécessiter l’activation de défenses de sécurité supplémentaires contre les attaques Spectre.

« Aujourd’hui, nous partageons le code de la preuve de concept qui confirme l’aspect pratique des exploits Spectre contre les moteurs JavaScript », a déclaré Stephen Röttger et Artur Janc, Ingénieurs en sécurité de l’information chez Google.

« Nous utilisons Google Chrome pour démontrer notre attaque, mais ces problèmes ne sont pas spécifiques à Chrome, et nous nous attendons à ce que d’autres navigateurs modernes soient également vulnérables à ce vecteur d’exploitation. »

Les chercheurs de Google ont créé une démo interactive de l’attaque sur leaky.page et ont publié un rapport détaillé sur Github.

L’objectif de la démo de preuve de concept dans le navigateur est de prouver la faisabilité d’un exploit Spectre, et il ne vous permettra pas de tester si votre appareil est vulnérable à de telles attaques.

Une démo vidéo montrant les résultats d’une attaque réussie utilisant l’exploit de Google sur une machine Ubuntu Intel i7-6500U utilisant Chrome 88 est intégrée ci-dessous.

La vulnérabilité Spectre a été dévoilée comme un bug matériel par les chercheurs de Google Project Zero en Janvier 2018.

Les attaquants peuvent l’exploiter sur des systèmes vulnérables pour voler des données sensibles, y compris des mots de passe, des documents et toutes les autres données disponibles en mémoire privilégiée.

Les attaques par canal auxiliaire de Spectre (CVE-2017-5753) affectent les modèles modernes des processeurs Intel, AMD, et ARM qui sont dotés de la prédiction des branches et de l’exécution spéculative.

Comme l’ont également constaté les chercheurs de Project Zero, Spectre a également des répercussions sur les principaux systèmes d’exploitation (c.-à-d. Windows, Linux, macOS, Android et ChromeOS).

Tous les principaux fournisseurs de processeurs et de système d’exploitation ont publié des correctifs de firmware et des correctifs logiciels pour Spectre depuis sa découverte.

Le mois dernier, julien Voisin, chercheur en sécurité, a trouvé des exploits ciblant les systèmes Linux et Windows sur VirusTotal.

Les deux exploits ont été partagés sur VirusTotal dans le cadre d’un package plus large : une version cassée de l’outil de test de pénétration CANVAS a fuité et est échangé en ligne depuis au moins Décembre 2020.

Laisser un commentaire