Reprise du message précédent :
Je ne vois ce que ça a de saugrenu, ça pourrait protéger les VM sans protéger l'hôte via un patch du CPU virtuel.

bah si !
ça permettra par exemple de présenter a l'OS les bonnes instructions pour protéger a l'intérieur de chaque VM...
 
un peu comme si tu mettais a jour le BIOS sur un serveur physique

Non mais la faille elle est dans le cpu hein. vm ou pas les instructions cpu s'exécutent dessus. Y a rien de virtuel à patcher ça a pas de sens

Non mais effectivement dans le cas des hyperviseurs, ce sont ces derniers qui doivent patcher le CPU puisque ce sont eux qui y ont accès

 
La faille est hardware, mais les patchs sont logiciels à ce que je sache (oui, même le microcode c'est du logiciel, et de toute façon il faut toujours que l'OS soit patché pour être protégé), et, pour le sujet du jour, je ne vois pas pourquoi les VM ne pourraient pas présenter un CPU virtuel "non vulnérable" à l'hôte (et donc protéger un CPU réel non patché).

petit retour sur la machine de test après quelques jours.....
 
donc merci VMware pour le patch microcode, vu que maintenant la VM est protégée spectreV2  
(quoi qu'en dise Je@nb le firmware est aussi pour les VM, pas que pour l'hôte c'est d'ailleurs indiqué dans le KB VMWare)
 
pas d'instabilité notable.
(machine de test installée depuis 4 jours, donc faut pas prendre ça pour argent comptant)
 
par contre, une petite surprise, un W2016 a jour n'est pas par défaut protégé pour meltdown et spectre, il faut mettre les clef en BDR (AV defender de base installé et activé)
un 2012 R2 dans les mêmes conditions l'est par défaut.
 
j'ai pas cherché plus loin, c'est pt 'être normal et documenté

Si tu upgrades le microcode du processeur, bah oui ça va protéger tout ce qu'il est exécuté sur le processeur, dont la VM ...

la machine est passée en PROD hier.
RAS.
 
d'autres ont testé cette nouvelle version ?

Il y a un BIOS pour ma CM avec les nouveaux microcodes, mais je ne l'ai pas encore flashé

Le microcode est flashé directement sur le CPU, ou c'est une partie de l'OS?

Un CPU ne peut pas être flashé, il aura toujours le microcode d'origine, mais ce dernier peut être mis à jour (temporairement, ça ne survit pas à un  démarrage) via le BIOS ou l'OS.  
La méthode BIOS est évidemment préférable puisque le microcode à jour sera chargé quel que soit l'OS.

yen a encore qui s'intéressent a ça ?

mes constations a l'heure actuelle:

il y a des patch linux pour les noyaux 3.16+ et 4.9+ qui ont été publiés assez récemment qui bouchent les failles spectre même sur du matériel non patché (cpu trop vieux) en utilisant reptoline

niveau meltdown, les patch pour Windows/linux sont dispo depuis le début de l'année

les patch spectre sur Windows sont dispo mais nécessitent d'avoir un hardware patché (donc récent)

attention sous Windows a vérifier que les patch sont activés (sous Windows server, ce n'est pas le cas par défaut)

intel/amd ont sorti (sort encore régulièrement pour intel) des microcode pour les CPU récents
intel a stoppé la dev de nouveaux firmware pour les anciens CPU.
liste dispo ici de ce qui a été patché et ne sera pas patché: https://newsroom.intel.com/wp-conte [...] idance.pdf
AMD a fourni des microcode pour tout ce qui est post Bulldozer (2011)

donc en gros, meltdown OK partout

spectre OK sous linux

spectre OK sous Windows si matériel OK

spectre KO sous Windows si matériel non patché et il n'y a pas/n'aura pas de moyen de boucher autrement (de ce que j'ai compris, ils n'implémenteront pas reptoline)

... jusqu'à la prochaine (faille sur hyperviseur, cpu , firmware etc )que l'on vous dévoilera que dans 1 an ou 2 ? ...
lol la sécurité info.

beaucoup moins que ça a priori...
https://www.tomshardware.com/news/a [...] 36656.html

La sécurité ce n'est pas l'absence de risques ou de failles, c'est leur gestion.

Non mais c'était surtout du FUD pour faire baisser le cours des actions AMD, rien à voir niveau gravité avec Spectre et surtout Meltdown, HFR a même fait un article dessus...il faut se renseigner un minimum.
edit:
https://www.hardware.fr/news/15366/ [...] ryzen.html
et
https://www.hardware.fr/news/15371/ [...] -labs.html

j'ai pas dit le contraire

Mais tu l'a laissé sous-entendre  

C'est surtout un boulot d’escrocs , vendeur de rêve ... qui promet le confort d'être en sécurité qui n'existe pas et n'existera jamais ! (cela me fait penser au assurances ... aussi !)
 

 
je trouve rarement tes interventions justes et constructives.

Quant tu auras bosser plus de 30 sur les parties techniques du métiers et plus de 10 ans dans la sécurité informatique je pense que tu regarderas le secteur de la sécurité d'un autre œil : on appelle cela l'expérience.
Après libre à toi de construire une forteresse sur des fondations en sable ... et surtout des intentions qui, au plus haut niveau, sont de jouer avec "toi".

Ouais OK

et hop, 2 de plus !
https://www.intel.com/content/www/u [...] 00115.html

Oui, celle ci, je commence à avoir les correctifs de la faille Spectre variant 4, mais pour moi, ce n'est pas très claire sur l'activation et sa mise en œuvre.
 
But unlike Intel's updates for variant 2, the updates for Spectre variant 4, which is rated as a 'moderate'-severity issue and closely related to Spectre variant 1, will be optional and will by-default set to off. In this state, there is no impact on performance.
 
https://www.zdnet.com/article/new-s [...] rns-intel/
 
Il est question d'un switch ON / OFF, selon que la machine soit connectée à un réseau ou complètement isolée avec un risque de compromission plus faible où l'on pourrait laisser le dit curseur sur OFF.
 
Sauf que je n'ai pas vu de curseur d'activation / désactivation (sauf erreur de ma part) sur un poste utilisateur en Core i7 mis à jour. Ce curseur ne serait-il disponible que sur les serveurs ?
 
Microsoft a sorti le 14/6 un script Power Shell maintenant version 1.0.8 prenant en compte ce qui est aussi appelé SSBD (Speculative Store Bypass Disable) :
https://gallery.technet.microsoft.c [...] l-e36f0050
 
J'ai exécuté chacune des lignes indiquées dans le tableau encadré, mais actuellement, je n'ai pas de machine avec mise à jour du CPU contre ces failles, pour pouvoir être plus précis.
[EDIT le 24/6/2018] Les explications du scripts :
https://support.microsoft.com/en-in [...] powershell
 
La mise à jour du guide de Microsoft du 12 juin avec l'ajout de la partie Speculative Store Bypass Disable (SSBD) des processeurs Intel :
https://portal.msrc.microsoft.com/e [...] /ADV180012
 
En parlant de nouvelles vulnérabilités découvertes, il y a celle-ci :
https://www.cyberus-technology.de/
https://www.intel.com/content/www/u [...] 00145.html
 
[EDIT le 25/6/2018] Je vais faire un petit résumé :
Prérequis : Firmware du constructeur avec la dernière version de BIOS / UEFI bénéficiant des dernières corrections de CPU Intel contre spectre v4. (Pour information, le PDF de révision de CPU et de correctif à appliquer initialisé par Intel n'est plus maintenu, et il faut donc une révision supérieure à ce qui est écrit dans le document qui n'inclut pas pour le moment les nouvelles révisions pour les corrections de vulnérabilité contre Spectre v4).
- Dernier moteur d'antivirus.
- Derniers correctifs Microsoft Windows 10. (exemples cités et testé avec le kernel 1803)
 
Mais ça ne suffit pas.  
Il reste une dernière étape pour activer la correction des vulnérabilités.
 
Enable mitigations around Speculative Store Bypass (CVE-2018-3639) together with mitigations around Spectre Variant 2 (CVE-2017-5715) and Meltdown (CVE-2017-5754) through the following registry settings (because they are not enabled by default).
 
Ajouter les 2 changements de registre avec les droits administrateur, et redémarrer la machine pour prise en compte.
 

 
https://support.microsoft.com/en-us [...] ilities-in
 
Le lancement du scripte Power Shell nous montre maintenant le champ SSBDWindowsSupportEnabledSystemWide qui passe maintenant de False à True.
 
PS : Je n'ai pas encore testé le script Microsoft sur CPU AMD.
Je n'ai pas testé sur machine Linux.
 
[EDIT le 19/8/2018]
Intel vient d'annoncer une nouvelle faille nommée "L1 Terminal Fault" (L1TF). Cette faille concerne les CPU Intel Core et Intel Xeon.
https://software.intel.com/security [...] inal-fault
https://www.intel.com/content/www/u [...] 00161.html
 
Concernant les postes utilisateurs, Microsoft continue de préconiser l'utilisation et le mise en œuvre de la protection et l'isolation du kernel par la virtualisation (Virtualization Based Security (VBS)) :
Windows Virtualization Based Security (VBS) is foundational to Windows 10 security. All VBS features including Hypervisor-enforced Code Integrity (HVCI) and VBS enclaves depend on confidentiality to maintain a strong security boundary. The L1TF vulnerability introduces risk that the confidentiality of VBS secrets could be compromised via a side-channel attack when Hyper-Threading (HT) is enabled, weakening the security boundary provided by VBS. Even with this increased risk, VBS still provides valuable security benefits and mitigates a range of attacks with HT enabled. Hence, we recommend that VBS continue to be used on HT-enabled systems. Customers who want to eliminate the potential risk of the L1TF vulnerability on the confidentiality of VBS should consider disabling HT to mitigate this additional risk.
 
Windows client operating system users who are using Hyper-V for the security guarantees provided by VM isolation should disable HT to protect against L1TF
 
Pour se prémunir totalement de cette nouvelle faille découverte, voici ce qu'il convient de réaliser pour les postes utilisateurs Windows 10 que je traite ici. Il conviendra d'analyser ce que les autres OS sont en mesure de couvrir, et particulièrement côté serveur Linux et hyperviseurs par exemple :
1 : Installation of Windows Security updates.
2 : Installation of firmware updates provided by the device’s OEM. (Normalement déjà réalisé par le firmware traitant les vulnérabilités de spectre V4)
3 : Disabling Hyper-Threading
 
https://portal.msrc.microsoft.com/e [...] /adv180018
 
Le script PowerShell de Microsoft permettant de voir l'état du poste utilisateur vient de passer en version 1.0.9 et maintenant en version 1.0.10.
https://gallery.technet.microsoft.c [...] l-e36f0050
 
L'explication du script est disponible ici :
https://support.microsoft.com/en-in [...] nMID=24542
 
De son côté, Intel a fait une communication concernant les impacts pour rassurer tout le monde :
https://www.intel.com/content/www/u [...] /l1tf.html

Mise à jour du message https://forum.hardware.fr/hfr/syste [...] tm#t154707

Microsoft vient de mettre à disposition le KB4467708
https://support.microsoft.com/en-us [...] -kb4467708
 
Provides protections against an additional subclass of speculative execution side-channel vulnerability known as Speculative Store Bypass (CVE-2018-3639) for AMD-based computers. These protections aren't enabled by default
 
Il convient ensuite d'activer ces protections comme indiqué ci-dessous :
https://support.microsoft.com/en-us [...] ilities-in
 
To enable mitigations for CVE-2018-3639 (Speculative Store Bypass), CVE-2017-5715 (Spectre Variant 2) and CVE-2017-5754 (Meltdown):
 
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f
 
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
 
Restart the computer for the changes to take effect.
 

 
Le script Microsoft (Speculation Control Validation PowerShell Script) actuellement en version 1.0.11 nous permet de vérifier le changement avant / après activation du correctif et reboot de la machine.
https://gallery.technet.microsoft.c [...] l-e36f0050

Et pour Win7 ?

 
Le support mainstream de Windows 7 a expiré.

Mais les failles de sécurité sont toujours corrigées jusqu'en 2020.

Oui, en théorie, mais pas de façon tip-top déjà, lorsque j'en avais encore à gérer.  
Windows 7 SP1 est indiqué en haut de cette page, donc il doit y avoir un minimum de fait, j'imagine :
https://support.microsoft.com/en-us [...] ities-prot

quand yen a plus, yen a encore !
https://zombieloadattack.com/
https://www.zdnet.com/article/how-t [...] s-systems/
https://www.zdnet.com/article/patch [...] ntel-cpus/
https://support.microsoft.com/en-us [...] ilities-in

Oui, c'est rien. Avec toutes les mitigations, on doit bien en être à -15% de perf sur les serveurs, mais les bénef d'Intel vont bien. Intel (et AMD) remboursent ? A quand la class action ?
Bref, monter des serveurs ARM (enfin, si la sécurité est importante pour vous)

La seule façon de réellement se protéger est de désactiver l'HT, Apple annonce -40% de perf  !
 
Comme je l'ai lu sur HN, avec ces nouvelles failles et celles de l'année dernière, on a bien du perdre deux générations de CPU, voire trois niveau performances.
 
Bon après il faut relativiser: le risque principal pour quelqu'un qui n'exécute pas n'importe-quoi sur son PC (sinon le problème n'est pas vraiment ces failles) c'est le Javascript dans les navigateurs.
Bloquer le Javascript tiers est déjà une bonne habitude, d'autant que la plupart des sites fonctionnent toujours (ou alors il suffit d'autoriser un second domaine).

ça suffit apparemment pas
 
https://www.cyberus-technology.de/p [...] eload.html
 

 
pour les perfs, oui, évidement, désactiver l'HT va laisser des traces

Vendez vos actions Intel et achetez du AMD

Effectivement. J'ai activé les clefs de registre demandées par Microsoft sur cette page (with Hyper-Threading disabled), puis après redémarrage, fais un test avec le nouveau script PowerShell " SpeculationControl 1.0.13 ".
 
https://www.powershellgallery.com/p [...] rol/1.0.13
Résultat : Atténuations MDS installées, CPU vulnérable, mais activation des atténuations OS : FALSE.
 
Ça craint, même si le VBS est activé.
 
Avez-vous pu commencer vos tests ?
 
[EDIT] : et aussi plein d'autres annoncées par ailleurs :
https://www.intel.com/content/www/u [...] 00213.html

idem sur les clients ou j'ai testé (avec HT activé de mon coté)

Bon, j'ai maintenant la solution concernant l'activation. Il y a un prérequis.
Il faut mettre à jour la révision du CPU pour que cela puisse basculer en "activé". J'ai pu y parvenir par la mise à jour de firmware UEFI de la machine.
 
Pour information, le niveau à avoir pour vos CPU Intel se trouve ici :
https://www.intel.com/content/dam/w [...] 132019.pdf
 
Testé sur un poste client Windows 10, le script PowerShell Microsoft (1.0.14 depuis) nous indique maintenant que c'est bien activé au niveau système. (Les clefs de registres ayant déjà été appliquées au préalable)
https://www.powershellgallery.com/p [...] onControl/

Pour linux https://github.com/speed47/spectre-meltdown-checker

et c'est reparti
https://portal.msrc.microsoft.com/e [...] -2019-1125