NetCAT: 1 nouvelle vulnérabilité sur les processeurs Intel

Contrairement aux précédentes vulnérabilités de canal auxiliaire des processeurs Intel, la faille NetCAT peut être exploité à distance sur le réseau sans que le pirate ait un accès physique au réseau ou qu’un malware soit installé sur l’ordinateur ciblé.

NetCAT, ou Network Cache ATtack, est la nouvelle vulnérabilité de canal auxiliaire qui permet à un pirate distant de sniffer des données sensibles depuis le cache d’un processeur Intel.

Découverte par une équipe de chercheur en sécurité de l’université Vrije à Amsterdam, la vulnérabilité, identifié comme CVE-2019-11184, se trouve dans la fonctionnalité d’optimisation de performance nommée DDIO (Data-Direct I/O). Cette fonctionnalité est conçue pour que les appareils du réseau et les autres périphériques puissent accéder au cache du processeur.

DDIO est activé par défaut sur tout les processeurs Intel qui sont destinés aux serveurs depuis 2012, y compris les familles Intel Xeon E5, E7 et SP.

intel

Selon les chercheurs [rapport], l’attaque NetCAT est similaire à Throwhammer car il suffit d’envoyer des paquets spéciaux sur le réseau vers un ordinateur ciblé dont la fonctionnalité Remote Direct Memory Access (RDMA) est activé.

RDMA permet aux pirates d’espionner des périphériques distants côté serveur (les cartes réseaux par exemple) et observer la différence de timing entre un paquet du réseau qui est envoyé depuis le cache du processeur distant et un paquet envoyé depuis la mémoire.

L’idée est d’effectuer une analyse de timing de frappe sur le clavier pour récupérer les mots tapés par la victime en utilisant un algorithme d’apprentissage automatique (machine learning) sur les données de temps.

“Lors d’une session SSH interactive, à chaque fois que vous appuyez sur une touche, les paquets du réseau sont transmis directement. Quand une victime tape un caractère à l’intérieur d’une session SSH chiffrée sur la console, NetCAT permet de mettre la main sur le timing de l’événement en faisant fuité le temps d’arrivée du paquet de réseau,” a expliqué l’équipe de VUSec.

“Les humains ont des modèles de frappe distincts. Par exemple, taper ‘s’ juste après ‘a’ est plus rapide que taper ‘g’ après ‘s’. Au final, NetCAT peut effectuer des analyses statistiques sur les timings d’arrivée des paquets, cela s’appelle une ‘timing attack’ sur la frappe de caractère.”

“L’attaque NetCAT se trompe en moyenne sur seulement 11.7% des frappes de caractère découvertes.”

L’équipe VUSec a aussi publié une vidéo (voir plus haut), démontrant une méthode pour espionner les sessions SSH en temps-réel juste en utilisant un serveur partagé.

NetCAT rejoint la longue liste de vulnérabilités de canal auxiliaire découvertes cette année après Meltdown et Spectre, TLBleed, Foreshadow,  SWAPGS et PortSmash.

Comment se protéger de NetCAT?

Dans son rapport, Intel a pris connaissance du problème et a recommandé aux utilisateurs de désactiver DDIO ou RDMA pour rendre ces attaques plus difficiles. Il est aussi possible de limiter l’accès direct aux serveurs quand une connexion vient d’un réseau inconnu.

La compagnie a classé la vulnérabilité NetCAT comme étant “faible”, la décrivant comme étant un problème de divulgation d’informations partielles. L’équipe VUSec a reçu une prime pour cette trouvaille et pour avoir divulgué la faille de manière responsable.

Si le nom de cette faille vous parait familier c’est parce qu’il y’a un utilitaire qui permet d’ouvrir des connexions réseaux qui portent le même nom.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x