2018 is begonnen met 2 grote beveiligingslekken: Meltdown en Spectre. Deze bugs bevinden zich in moderne cpu’s. Doordat deze processors in vrijwel ieder apparaat aanwezig zijn, van servers in datacentra tot aan je eigen smartphone, vormen de bugs op grote schaal een potentieel gevaar. In dit artikel lees je wat we tot nu toe over de beveiligingslekken Meltdown en Spectre weten.

Wat houden Meltdown en Spectre in?

Op 1 januari 2018 verscheen op het blog Phyton Sweetness een post waarin werd geconcludeerd dat er waarschijnlijk sprake is van grootschalige kwetsbaarheid in cpu’s die op de markt zijn gebracht na 1995. Op 4 januari 2018 publiceerden beveiligingsexperts de officiële documentatie rondom de beveiligingslekken genaamd Meltdown en Spectre.

Zowel Meltdown als Spectre exploiteren kritische kwetsbaarheden in moderne processors. De hardware bugs stellen kwaadwillenden in staat privacygevoelige gegevens, die op dat moment in het geheugen van systemen staan, uit te lezen. Hierdoor kunnen kwaadwillenden het systeembeheer overnemen.

Meltdown

Een Meltdown-aanval wordt omschreven als:

“Meltdown breaks the most fundamental isolation between user applications and the operating system. This attack allows a program to access the memory, and thus also the secrets, of other programs and the operating system.” (Graz University of Technology, 2018)

Voor meer technische informatie over Meltdown, verwijzen we je graag door naar dit technische rapport: https://meltdownattack.com/meltdown.pdf

Momenteel zijn vrijwel alle Intel-processors die na 1995 zijn geproduceerd, kwetsbaar voor Meltdown (behalve Intel Itanium en Intel Atom ouder dan 2013). Het is onduidelijk of ARM- en AMD-processors ook zijn getroffen door Meltdown. Inmiddels zijn er softwarepatches beschikbaar die misbruik van de kwetsbaarheden tegengaan. De patches zullen op korte termijn door OS-leveranciers worden uitgerold.

Spectre

Een Spectre-aanval omschrijven security-experts als volgt:

“Spectre breaks the isolation between different applications. It allows an attacker to trick error-free programs, which follow best practices, into leaking their secrets. In fact, the safety checks of said best practices actually increase the attack surface and may make applications more susceptible to Spectre.” (Graz University of Technology, 2018)

Meer technische informatie over Spectre vind je in het technische rapport: ‘Spectre Attacks: Exploiting Speculative Execution’.

Het is zeker dat Intel-, AMD- en ARM-processors kwetsbaar zijn voor Spectre. Vermoed wordt dat meer cpu’s risico lopen. Spectre is lastiger te exploiteren dan Meltdown, maar ook lastiger af te wenden. Momenteel is het alleen mogelijk om via softwarepatches specifieke exploits op basis van Spectre te voorkomen.

Welke acties worden er ondernomen?

Volgens een artikel op het Google Security Blog moeten kwaadwillenden eerst schadelijke code op het systeem laten draaien om van de bugs te profiteren. Project Zero-onderzoekers hebben 3 aanvalsmethoden ontdekt die onder verschillende omstandigheden effectief zijn. Alle 3 de methoden kunnen een proces met reguliere gebruikersprivileges toestaan ongeoorloofde leesbewerkingen van gegevens in het systeemgeheugen uit te voeren. Deze gegevens kunnen privacygevoelige informatie bevatten zoals wachtwoorden en cryptografisch key-materiaal.

Er is op dit moment nog geen oplossing voor alle 3 de aanvalsvarianten; elke variant heeft onafhankelijk bescherming nodig. Veel leveranciers hebben inmiddels wel patches beschikbaar voor een of meer van de aanvallen. Ontwikkelaars werken hard door aan updates voor de verschillende systemen.

Wij adviseren je extra alert te zijn op OS-updates, firmware-updates van je processor en software-updates van onder meer je webbrowser. Ook adviseren we je deze updates zo snel mogelijk te installeren.

Welke acties onderneemt Hostnet?

Uiteraard heeft de veiligheid van systemen bij Hostnet de hoogste prioriteit. Wij houden de situatie nauwlettend in de gaten om de veiligheid van onze diensten te waarborgen. Wij staan op dit moment in nauw contact met onze leveranciers over officiële updates. Benodigde updates voeren wij zo spoedig mogelijk door op onze systemen.

Houd onze statuspagina in de gaten voor de laatste ontwikkelingen.

Blijf op de hoogte

Voor meer informatie en technische details over Meltdown en Spectre, verwijzen we je graag door naar de volgende pagina’s:

Delen
Reacties
  • Alexander Weber 05 januari 2018 om 16:00

    2 maar? Ik dacht dat het er 3 waren?

    – CVE-2017-5753
    – CVE-2017-5715
    – CVE-2017-5754

    • Dave Swart 05 januari 2018 om 16:42

      Beste Alexander,

      Er zijn inderdaad 3 varianten bekend. Omdat er geen manier is om deze problemen met 1 oplossing te mitigeren, staan ze bekend als 3 CVE’s. CVE-2017-5753 en CVE-2017-5715 zijn varianten van Spectre, terwijl CVE-2017-5754 bekend staat als Meltdown. Meer informatie over beide aanvallen vind je via de links in het artikel.

Reageer

Praat mee over dit onderwerp