Intrapole
VOUS  TES ICI : Accueil » Alertes Sécurité »

Intel vPro à nouveau hautement vulnérable

Le fondeur vient de corriger une faille critique qui permettait de contourner le système de sécurité TXT et de prendre ainsi le contrôle de l’ordinateur.

Pour Intel, l’année se termine de la même façon qu’elle a commencé, à savoir par une faille sur vPro. Début 2009, deux chercheurs polonais de l’Invisible Things Lab avaient trouvé le moyen de contourner les protections de la solution Trusted Execution Technology (TXT) du fondeur. Il s’agit de l’un des principaux composants de la plate-forme vPro. Il facilite l’administration et la sécurisation des postes de travail, en autorisant notamment le diagnostic et les mises à jour du poste de travail à distance.

Le 21 décembre, les deux mêmes chercheurs ont récidivé. Ils ont publié une autre méthode permettant de contourner de nouveau TXT. Cette faille concerne différents chipsets (Q35, GM45, PM45 Express, Q45 Q43). Cette fois, le maillon faible estle SMM (System Management Mode). Pour accéder à ce mode, il faut profiter des SMI (System Management Interrupts), des interruptions matérielles générées par le chipset. Une fois dans ce mode, un code malveillant (du type rootkit) pourrait prendre le contrôle du poste de travail car le système d’exploitation est incapable de se rendre compte de l’exécution en mode SMM. Aucune politique de sécurité ne pourrait être instaurée et appliquée à ce code malveillant. Sur son blog, Joanna Rutkowska, fondatrice de l’Invisible Things Lab, précise qu’avec sa méthode, l’hyperviseur chargé n’est plus protégé et que le TXT est ainsi intégralement contourné.

Un patch est d’ores et déjà disponible

Les chercheurs polonais ont informé Intel fin septembre, mais ils n’ont pas rendu publique leur découverte avant que le fondeur ne sorte un bulletin d’information et un patch de sécurité incluant une nouvelle version du ACM (Authenticated Code Module).

Ce n’est pas la première fois que Joanna Rutkowska dévoile des failles Intel très importantes. Lors de la conférence de sécurité Black Hat, organisée en juillet dernier à Las Vegas, l’équipe de Joanna Rutkowska avait identifié une faille au sein du processus de mise à jour des Bios compatibles avec vPro (systèmes fondés sur les chipsets Q45). Avec la méthode décrite par les experts polonais, un pirate était capable de contourner les mécanismes de vérification des signatures afin d’infecter le Bios. « Ces différentes failles doivent rappeler aux décideurs en entreprise qu’ils ne se libéreront pas de toutes les contraintes de sécurité sur les systèmes d’information avec des artifices matériels, fussent-ils remarquables comme vPro », précise un expert en sécurité.

Philippe Richard | 01net. | le 22/12/2009 à 16h58

(Source :01netPro)