Failles dans des millions d'ordinateur avec processeurs Intel... Mais êtes-vous concerné ?

Intel a publié un outil de détection permettant de savoir si votre puce est vulnérable à l’une des huit failles importantes que le fabricant vient de révéler.

Il y a quelques jours, Intel a révélé la présence de huit importantes failles de sécurité dans une multitude de ses processeurs : Core de sixième, septième et huitième génération, Atom C3000, Apollo Lake, Celeron N/J.  Les vulnérabilités se logent dans différents modules du processeur, à savoir le Management Engine (démarrage et gestion à distance), Server Platform Services (gestion à distance) et Trusted Execution Engine (authentification de la plateforme matérielle). Chacun de ces modules dispose de son propre firmware qu’il convient de mettre à jour s’il est impacté par ces failles.

Ces failles ne sont pas à prendre à la légère, surtout celles liées au Management Engine. Ce composant peut accéder à presque tous les éléments de l’ordinateur, y compris la mémoire et les interfaces réseau. En entreprise, les administrateurs systèmes s’en servent pour accéder à distance aux ressources de la machine. Les détracteurs d’Intel estiment d’ailleurs que le Management Engine s’apparente à une porte dérobée.

Quelques secondes suffisent pour le savoir

Les failles listées par Intel permettent à un attaquant local d’élever ses privilèges et d’exécuter du code arbitraire sur la machine. Parfois, l’attaque peut également se faire à distance. Si vous avez un ordinateur avec processeur Intel, il n’est pas évident de savoir à priori si vous êtes touché, vu le nombre de modèles différents sur le marché. Heureusement, Intel propose un outil de détection pour Linux et Windows (version 7, 8.1 et 10). Baptisé « Intel-SA-00086 », celui-ci est disponible en ligne. Le plus simple est de lancer la version avec interface (DiscoveryTool.GUI). Quelques secondes plus tard, vous saurez si vous êtes concernés.

Malheureusement, l’outil ne permet pas, en cas de processeur vulnérable, de mettre à jour le firmware en question. Pour cela, il faut se tourner vers les constructeurs. Le site d’Intel fournit pour cela la liste des pages support de sept fournisseurs (Acer, Dell, Fujitsu, HPE, Intel, Lenovo et Panasonic) sur lesquelles l’utilisateur peut savoir comment mettre à jour sa machine.

Exploitation : surtout un risque pour les serveurs

La question de l’exploitation soulève cependant des voix dissonantes. Bien que le communiqué d’Intel publié hier soit clair sur les produits et versions concernés, il ne dit rien sur le danger réel couru par les entreprises, ni d’ailleurs qui peut être réellement touché.

Selon SemiAccurate, Matthew Garrett ou encore HD Moore, il semble bien que le souci ne soit bien exploitable qu’en entreprise, si l’Active Management Technology est activée et surtout réellement utilisée. Les portes ports 16992 et 16993 doivent donc être ouverts pour laisser passer les ordres émis par l’AMT.

Pour Moore, le risque concerne avant tout les serveurs, puisque ce sont les machines traditionnellement utilisées pour l’administration des postes. Selon lui, une requête spécifique envoyée sur le moteur de recherche Shodan lui a renvoyé environ 7 000 résultats, ce qui représenterait le nombre de serveurs disponibles. Selon lui également, il faut que le Local Manageability Service (LMS) de Windows soit également activé.

Le risque potentiel est très élevé

Même si le chiffre paraît faible, il ne faut pas oublier que pour un serveur vulnérable à distance, on peut trouver des dizaines, voire des centaines de machines rattachées. Le danger ne vient pas de l’attaque sur le serveur proprement dite, mais bien des droits que gagne le pirate sur le réseau s’il parvient à en prendre le contrôle.

Par ailleurs, un autre facteur rend cette faille particulièrement dangereuse : le temps. Techniquement, elle est exploitable depuis la première génération de processeurs Core chez Intel. On sait donc qu’Intel vient manifestement de la découvrir et de la corriger, mais pas si la vulnérabilité étant connue de tiers pendant tout ce temps. Ses détails pourraient donc être entre les mains de pirates depuis des années.

Détection pour Linux et Windows (version 7, 8.1 et 10). Baptisé « Intel-SA-00086 », celui-ci est disponible en ligne.

.Le site d’Intel fournit pour cela la liste des pages support de sept fournisseurs (Acer, Dell, Fujitsu, HPE, Intel, Lenovo et Panasonic) sur lesquelles l’utilisateur peut savoir comment mettre à jour sa machine.