Le chercheur en sécurité de Google, Tavis Ormandy, a identifié une nouvelle vulnérabilité (CVE-2023-23583) dans les processeurs Intel, nommée Reptar. Cette vulnérabilité menace principalement les systÚmes cloud exécutant des machines virtuelles appartenant à différents utilisateurs. Elle peut provoquer un blocage ou un plantage du systÚme lors de certaines opérations sur des systÚmes invités non privilégiés. Un utilitaire permettant de reproduire cette vulnérabilité a été publié à des fins de test.
En thĂ©orie, cette vulnĂ©rabilitĂ© pourrait ĂȘtre exploitĂ©e pour Ă©lever les privilĂšges du niveau 3 au niveau 0 (CPL0) et s'Ă©chapper des environnements isolĂ©s. Cependant, ce scĂ©nario n'a pas encore Ă©tĂ© confirmĂ© en pratique en raison des difficultĂ©s de dĂ©bogage au niveau microarchitectural. Des tests internes chez Intel ont Ă©galement dĂ©montrĂ© le potentiel d'exploitation de cette vulnĂ©rabilitĂ© pour une Ă©lĂ©vation de privilĂšges dans certaines conditions.
D'aprÚs le chercheur, cette vulnérabilité affecte les familles de processeurs Intel Ice Lake, Rocket Lake, Tiger Lake, Raptor Lake, Alder Lake et Sapphire Rapids. Le rapport d'Intel précise que le problÚme concerne les processeurs Intel Core de 10e génération (Ice Lake), les processeurs Xeon Scalable de 3e génération, ainsi que les processeurs Xeon E/D/W (Ice Lake, Skylake, Haswell, Broadwell, Sapphire Rapids, Emerald Rapids, Cascade Lake, Cooper Lake, Comet Lake et Rocket Lake) et les processeurs Atom (Apollo Lake, Jasper Lake, Arizona Beach, Alder Lake, Parker Ridge, Snow Ridge, Elkhart Lake et Denverton). Cette vulnérabilité a été corrigée hier dans la mise à jour du microcode 20231114.
La vulnĂ©rabilitĂ© est due Ă une particularitĂ© microarchitecturale : lâexĂ©cution de lâinstruction « REP MOVSB » est encodĂ©e avec un prĂ©fixe « REX » redondant, ce qui entraĂźne un comportement indĂ©fini. Ce problĂšme a Ă©tĂ© dĂ©couvert lors de tests de prĂ©fixes redondants qui, en thĂ©orie, devraient ĂȘtre ignorĂ©s, mais qui, en pratique, provoquent des effets indĂ©sirables, comme lâignorance des sauts inconditionnels et la perturbation de la sauvegarde des pointeurs dans les instructions xsave et call. Une analyse plus approfondie a rĂ©vĂ©lĂ© que lâajout dâun prĂ©fixe redondant Ă lâinstruction « REP MOVSB » corrompt le contenu du ROB (ReOrder Buffer), utilisĂ© pour lâordonnancement des instructions.
L'erreur serait due Ă un calcul incorrect de la taille de l'instruction MOVSB, entraĂźnant une perturbation de l'adressage des instructions Ă©crites dans le tampon ROB aprĂšs une instruction MOVSB ââcomportant un prĂ©fixe excessif, ainsi qu'un dĂ©salignement du pointeur d'instruction. Cette dĂ©synchronisation peut se limiter Ă la perturbation des calculs intermĂ©diaires, avec un rĂ©tablissement ultĂ©rieur d'un Ă©tat cohĂ©rent. Cependant, si le plantage survient simultanĂ©ment sur plusieurs cĆurs ou threads SMT, il peut engendrer une corruption microarchitecturale suffisante pour provoquer un plantage.
Source: opennet.ru
