Paume faciale : Intel a décidé d’abandonner la solution DRM intégrée connue sous le nom de Software Guard Extensions (SGX) pour ses derniers processeurs clients, mais la technologie est toujours utilisée et développée sur les processeurs serveur et cloud appartenant à la gamme Xeon. Les bugs et les failles de sécurité sont toujours là aussi.
Juste à temps pour le Patch Tuesday de Microsoft de février 2023, Intel a également publié 31 nouveaux avis de sécurité pour sa technologie de processeur le 14 février. Certains de ces avis concernent les extensions de processeur SGX, avec cinq vulnérabilités de sécurité répertoriées CVE différentes trouvées dans les processeurs Xeon, les processeurs Core et dans le kit de développement logiciel (SDK) officiel.
Deux des vulnérabilités SGX susmentionnées sont liées à une potentielle élévation des privilèges qui pourrait divulguer des données sensibles, ce qui est exactement le type de problèmes de sécurité que les extensions SGX ont été conçues pour résoudre en utilisant des zones de mémoire cryptées appelées « enclaves ».
Le CVE-2022-38090 La vulnérabilité a été classée avec un niveau de gravité CVSS “moyen”, et selon Intel, elle pourrait entraîner une “isolation incorrecte des ressources partagées” dans certains processeurs lors de l’utilisation d’enclaves SGX pour une éventuelle divulgation d’informations via un accès local. Les processeurs concernés incluent les gammes Core de 9e et 10e génération (les derniers processeurs clients prenant en charge les applications SGX), les processeurs de serveur Xeon Scalable et Xeon D de 3e génération.
De plus, le CVE-2022-33196 La vulnérabilité concerne les “autorisations par défaut incorrectes” dans certaines configurations de contrôleur de mémoire, ce qui pourrait permettre à un utilisateur privilégié d’activer l’élévation des privilèges via un accès local. Ce bogue particulier a un indice de gravité “élevé” et il n’affecte que les processeurs de classe serveur appartenant aux gammes Xeon Scalable et Xeon D de 3e génération.
Autres bogues liés à SGX ont été trouvés par des chercheurs en sécurité dans le SDK officiel de SGX, où une “vérification des conditions incorrectes” (CVE-2022-26509) et une “gestion insuffisante des flux de contrôle” (CVE-2022-26841) pourraient conduire à une divulgation potentielle d’informations via un accès local. Ces deux vulnérabilités ont un indice de sécurité “faible” et elles ont déjà été résolues avec une nouvelle mise à jour logicielle du SDK pour les plates-formes Windows et Linux.
En ce qui concerne les bogues SGX liés au processeur, Intel recommande d’installer les dernières mises à jour de micrologiciel disponibles pour éviter les problèmes potentiels et renforcer la sécurité du système (ou du serveur). Les mises à jour du micrologiciel sont également importantes pour les vulnérabilités non liées à SGX, car les avis de sécurité d’Intel de février fournissent des correctifs pour un bogue d’élévation des privilèges de niveau élevé dans Intel Server Platform Services (SPS) (CVE-2022-36348), un niveau élevé de escalade de faille de privilège via un accès réseau adjacent sur les processeurs évolutifs Xeon de 3e génération et plus encore.
