Microsoft s'associe à des fabricants de puces, notamment AMD, pour créer des firmwares inviolables.

[IceCream]

Diverses études ont montré qu’une seule attaque malveillante peut coûter des millions de dollars aux organisations et nécessiter un temps de récupération important. Avec la recrudescence des attaques malveillantes et l’augmentation du nombre d’employés opérant à distance et connectés à un réseau considéré comme moins sûr que le réseau d’entreprise traditionnel, les systèmes informatiques des employés peuvent être perçus comme un maillon faible de la sécurité et un risque pour la sécurité globale de l’entreprise. À cause de ces nouveaux risques, les fournisseurs de systèmes d’exploitation et de matériel indépendant ont décidé d’investir dans des technologies de sécurité qui permettront aux ordinateurs de mieux résister aux cyberattaques.

 

C’est dans ce contexte que le géant Microsoft a récemment annoncé son initiative Secured-core qui s’appuie sur les efforts combinés des partenaires OEM, des fournisseurs de puces et de la société elle-même pour fournir du matériel, des microprogrammes et des logiciels dont l’intégration au-delà de leur fonction première devra concourir à accroitre la sécurité des plateformes Windows. L’entreprise AMD, par exemple, de par son statut de fournisseur de premier plan de puces x86 sur le marché des PC, est un partenaire clé dans cet effort à travers la fourniture de processeurs compatibles avec le standard Secured-core.

 

Dans les systèmes informatiques actuels, le chargeur de démarrage et le micrologiciel de bas niveau sont exécutés en premier lieu pour les besoins de configuration. Par la suite, la gestion du système et de ses ressources ainsi que sa protection est transférée au système d’exploitation. Mais aujourd’hui, les cyberattaques sont de plus en plus sophistiquées et les menaces ciblant les micrologiciels de bas niveau deviennent plus importantes. Compte tenu de l’évolution du paradigme des menaces à la sécurité, il est impératif de fournir aux clients finaux une solution matérielle et logicielle intégrée qui offre une sécurité complète au système.

 

C’est là qu’intervient l’initiative Secured-core de Microsoft. Une machine certifiée Secured-core doit vous permettre de démarrer en toute sécurité votre système, de protéger votre appareil contre les vulnérabilités affectant le micrologiciel, de protéger le système d’exploitation contre les attaques et d’empêcher l’accès non autorisé aux périphériques et aux données grâce à des contrôles d’accès et systèmes d’authentification avancés.

 

La société AMD va jouer un rôle vital dans l’activation du Secured-Core sur les dispositifs compatibles, car les caractéristiques de sécurité matérielle des processeurs pour PC de la marque associées aux solutions logicielles devront contribuer à améliorer la protection contre les cyberattaques ciblant les micrologiciels de bas niveau. Avant d’expliquer comment les CPU AMD permettront d’activer le Secured-Core PC dans la prochaine génération de PC, attardons-nous sur certaines caractéristiques de sécurité et certaines capacités des processeurs d’AMD dérivés de l’architecture Zen.

 

SKINIT

 

L’instruction SKINIT aide à créer une « racine de confiance » en lançant un mode de fonctionnement initialement non fiable. SKINIT réinitialise le processeur pour établir un environnement d’exécution sécurisé pour un composant logiciel, appelé le chargeur sécurisé (ou SL pour Secure Loader) d’AMD, et démarre l’exécution du SL d’une manière qui aide à prévenir toute manipulation. SKINIT étend la racine de confiance matérielle au chargeur sécurisé.

 

AMD Secure Loader (SL)

 

Le chargeur sécurisé d’AMD (SL) est responsable de la validation de la configuration de la plateforme en interrogeant le matériel et en demandant des informations de configuration au service DRTM.

 

AMD Secure Processor (ASP)

 

AMD Secure Processor fait référence à un matériel dédié – coprocesseur - disponible dans chaque puce qui permet de démarrer en toute sécurité, depuis le BIOS vers l’environnement TEE (Trusted Execution Environment).

 

AMD-V avec GMET

 

AMD-V est un ensemble d’extensions matérielles qui permettent la virtualisation sur les plateformes AMD. Guest Mode Execute Trap (GMET) est une fonction d’accélération des performances intégrée aux processeurs Ryzen de la marque qui permet à l’hyperviseur de contrôler efficacement l’intégrité du code et de se protéger des logiciels malveillants.

 

Sur les processeurs AMD dérivés de l’architecture Zen, le firmware ou micrologiciel est authentifié et mesuré par un bloc de sécurité intégré à la puce. La valeur lue est ensuite stockée en toute sécurité dans le TPM (Trusted Platform Module) pour une utilisation ultérieure par le système d’exploitation, un usage qui inclut la vérification et l’authentification. À tout moment après le démarrage de l’OS, ce dernier peut demander au bloc de sécurité intégré à la puce AMD de refaire les mesures et comparer avec les anciennes valeurs avant d’exécuter certaines opérations. De cette façon, l’OS peut aider à assurer l’intégrité du système dès son démarrage. Ce processus est géré au niveau du CPU AMD par le DRTM (Dynamic Root of Trust Measurement) Servcie Block qui est chargé de créer et de maintenir une chaîne de confiance entre les composantes de ce processus.

 

Cependant, bien que les méthodes ci-dessus aident à protéger le micrologiciel, il y a toujours une surface d’attaque qui doit être protégée, le System Management Mode (SMM), un autre mode de fonctionnement des CPU x86 théoriquement dédié à l’exécution de routines de maintenance de la plateforme qui sont spécifiées par le concepteur de la carte mère. Ce mode a été introduit dans les années 80 avec la génération de CPU 386 Intel. Le SMM a la particularité d’être exécuté sans que l’OS en soit conscient ou que ce dernier puisse contrôler son activation ou son arrêt. C’est justement tout l’intérêt du SMM, gérer l’alimentation, la configuration matérielle, la surveillance thermique ou agir sur la mémoire et les périphériques sans que l’OS le sache. Lorsque ce mode est activé, toutes les interruptions, exceptions et même les NMIs sont masquées.

 

Pour faire basculer le CPU en mode SMM, il faut faire appel à une interruption matérielle appelée SMI (System Management Interrupt). En théorie, seuls des événements matériels critiques peuvent déclencher une telle interruption. Cependant, la plupart des chipsets fournissent un registre appelé APMC (Advanced Power Management Control) dans lequel toute écriture déclenche une SMI. La routine de traitement de la SMI est écrite par le concepteur de la carte mère afin de charger l’OS qui en général n’a pas connaissance des spécificités de chaque plateforme. Compte tenu de sa proximité avec le matériel, cette routine a besoin de privilèges élevés pour fonctionner. Le code qui s’exécute en mode SMM dispose de fait d’un accès illimité à la mémoire physique de la machine et à l’ensemble des registres de configuration ou de l’espace mémoire propre des périphériques, quel que soit le mécanisme d’accès utilisé (PMIO, configuration PCI ou MMIO).

 

Au vu de ses particularités, le mode SMM des processeurs x86 est devenu une cible attrayante pour les attaquants. Il peut être utilisé pour accéder à la mémoire de l’hyperviseur et modifier ce dernier. Puisque le gestionnaire SMI est généralement fourni par un éditeur tiers, le système d’exploitation et le code du gestionnaire SMM fonctionnant avec des privilèges plus élevés ont accès à la mémoire et aux ressources de l’OS / Hyperviseur. Les vulnérabilités exploitables dans le code SMM conduisent à un compromis entre le système d’exploitation Windows et la sécurité basée sur la virtualisation (VBS). Pour aider à isoler le mode SMM de ses processeurs x86, AMD a introduit un module de sécurité appelé AMD SMM Supervisor qui s’exécute immédiatement avant que le contrôle soit transféré au gestionnaire SMI, après qu’un SMI se soit produit. Le SMM Supervisor d’AMD réside dans le DRTM Service Block et ajoute une couche de protection matérielle supplémentaire au PC.

 

L’une des exigences relatives au Secured-core PC inclut le support de mesures d’intégrité système de base telles que le TPM 2.0. Une protection du noyau comme l’intégrité du code protégée par hyperviseur (HVCI) est également nécessaire. Des mesures sont également prises pour surveiller et restreindre les fonctionnalités potentiellement dangereuses du micrologiciel accessibles via le SMM.

 

Microsoft a expliqué que cette initiative a été mise sur pied pour prévenir les attaques plutôt que de simplement les détecter sur Windows et que, combinée avec Windows Defender System Guard, elle devrait permettre de fournir garanties uniformes sur l’intégrité de l’OS afin d’atténuer les menaces qui visent la couche firmware. Cette protection avancée du firmware des PC « fonctionne de concert avec d’autres fonctionnalités Windows pour garantir que les PC Secured-core offrent une protection complète contre les menaces modernes », a précisé Redmond. Notez que le dispositif Surface Pro X de Microsoft est un système certifié Secured-core.

 

Source.