Publicité en cours de chargement...

Publicité en cours de chargement...

Vulnérabilités Intel : des millions de machines vulnérables !

22 nov. 2017 - 09:17,
Tribune - Charles Blanc-Rolin
                   

Personne ne se réjouit de la découverte de vulnérabilités (quoi que !), mais il y en a qui forcément sont encore plus perturbantes que d’autres. C’est d’autant plus le cas lorsque les vulnérabilités affectent un composant matériel, en particulier lorsqu’il s’agit de processeurs équipant la plus grande partie des ordinateurs et serveurs du marché. , l’impact est très difficile à quantifier, on peut parler de plusieurs millions de machines impactées à travers le monde : ordinateurs, serveurs, IOT.

Patcher des applicatifs, ça n’amuse personne, patcher des systèmes d’exploitation, en particulier Windows, encore moins, mais lorsqu’il s’agit de patcher des Firmwares, c’est un véritable changement de paradigme !

Une politique de « patch management », c’est souvent difficile à mettre en place dans un environnement de production. Pour les systèmes Windows et certains applicatifs, il est possible de réaliser des mises à jour automatiquement et en masse depuis un serveur distant, avec des otuils comme SCCM / WSUS par exemple. Cela est réalisable sur des postes clients. Sur des serveurs, c’est déjà beaucoup plus complexe, on ne peut pas se permettre d’installer des mises à jours sans réaliser des tests afin de s’assurer que notre « patching » n’a pas créé de nouveaux bugs sur nos applicatifs métiers. Entre les redémarrages et les tests, les serveurs sont bien évidemment, beaucoup moins souvent mis à jour, même si aujourd’hui, avec la virtualisation et le processus de « snapshot », il est beaucoup plus simple de revenir en arrière en cas de problème.

Dans le cas d’un uprade de firmware, c’est beaucoup plus délicat. Cela implique l’indisponibilité d’un serveur physique pendant un certain temps, avec un risque de « plantage » et sans la bouée de secours « snapshot ». Cela implique également de réaliser cette opération manuellement, sur l’ensemble des machines. Autant se dire, qui va réellement patcher l’intégralité de son infra et de son parc ?

Alors ces vulnérabilités Intel, qu’en est-il réellement ?

Elles sont nombreuses et affectent plusieurs outils Intel :

  • Intel® Management Engine (ME) 11.x: CVE-2017-5705 , CVE-2017-5708, CVE-2017-5711, CVE-2017-5712
  • Intel® Server Platform Service 4.0.x.x : CVE-2017-5706 , CVE-2017-5709
  • Intel® Trusted Execution Engine (TXE) 3.0 : CVE-2017-5707 , CVE-2017-5710

Exécution de code arbitraire à distance, élévation de privilèges sur le système d’exploitation... pour faire court, c’est moche.

Matériellement, les processeurs suivants sont vulnérables :
6th, 7th, and 8th generation Intel® Core™ Processor Family:
Intel® Xeon® Processor E3-1200 v5 and v6 Product Family
Intel® Xeon® Processor Scalable Family
Intel® Xeon® Processor W Family
Intel Atom® C3000 Processor Family
Apollo Lake Intel Atom® Processor E3900 series
Apollo Lake Intel® Pentium® Processors
Intel® Celeron® N and J series Processors

Les constructeurs Dell et Lenovo proposent déjà de nouvelles versions de bios pour les ordinateurs et serveurs imapctés :

Intel propose un outil (Windows & Linux) permettant de tester la vulnérabilité d’une machine :

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025

Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025

05 sept. 2025 - 11:39,

Actualité

- DSIH

Depuis le 1er septembre 2025, la Haute Autorité de santé (HAS) a officiellement lancé le sixième cycle de certification (2025-2030) des établissements de santé. Ce dispositif, renouvelé tous les quatre ans, constitue un levier majeur d’évaluation de la qualité et de la sécurité des soins dans les st...

PSSI et Care D2 : suite de la réflexion sur la question de la signature

01 sept. 2025 - 22:56,

Tribune

-
Cédric Cartau

Dans le prolongement du précédent article(1) , intéressons-nous maintenant à un sujet qui déclenche souvent pas mal de débats : qui doit signer la PSSI ? Et d’ailleurs, doit-elle être signée ?

PSSI et Care D2, des questions pas si simples

26 août 2025 - 08:49,

Tribune

-
Cédric Cartau

Care Domaine 2 exige, entre autres, une PSSI pour le GHT qui candidate. Cela peut paraître simple, mais en fait cette exigence amène des questions et des réponses, surtout plus de questions que de réponses. Pour en avoir discuté avec pas mal de confrères ces derniers temps, force est de constater qu...

La cyber et les sacs de luxe

30 juin 2025 - 20:44,

Tribune

-
Cédric Cartau

C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.