MDS-kwetsbaarheden in Intel-processoren
Na het voor Intel roerige jaar 2018 waarin de kwetsbaarheden Spectre, Meltdown en Foreshadow werden geopenbaard, hebben onderzoekers van onder andere de Vrije Universiteit Amsterdam (VU) nieuwe kwetsbaarheden gevonden die in vrijwel alle processoren van het bedrijf aanwezig zijn. Deze kwetsbaarheden, door Intel onder de noemer MDS (Microarchitectual Data Sampling) geschaard, zijn de jongste telg in aanvallen die gebruikmaken van de optimalisatietechniek genaamd Speculative Execution. Een samenwerkingsverband van universiteiten en beveiligingsbedrijven kwam gisteren met beschrijvingen van mogelijke exploits in de vorm van Fallout, Zombieload en RIDL die gebruikmaken van deze kwetsbaarheden.
Gevoeligheid kwetsbaarheid betwist
In het kort zorgen de MDS-kwetsbaarheden ervoor dat er een korte periode is waarin er zeer kleine hoeveelheden data uit de buffer van de CPU lekken. De onderzoekers stellen echter dat dit onbeperkt kan worden herhaald en er op die manier grote hoeveelheden data buitgemaakt kunnen worden. Dit betekent volgens de onderzoekers dat met een paar simpele handelingen de CPU wordt misleid om gevoelige data als wachtwoorden uit de buffer te vissen. Intel betwist dit en geeft aan dat de data vergezeld gaat van grote hoeveelheden ruis vanuit andere computerprocessen en dat daardoor de impact minder groot is dan dat het lijkt.
Diverse updates al beschikbaar
Intel zelf heeft ook niet stilgezeten sinds het lek in september door de onderzoekers van de VU werd aangekaart. Het bedrijf heeft ondertussen microcode-updates beschikbaar gesteld. Volgens Intel leveren deze updates minimale prestatievermindering op. Naast deze microcode-updates zijn er echter ook software-updates nodig om het lek volledig te dichten.
De kwetsbaarheden worden momenteel met een combinatie van hardware- en software-updates gedicht. Microsoft kwam al met een update voor Windows 10, Apple met een update voor MacOS 10.14 Mojave en Google heeft een complete pagina ingericht waarop staat welke producten een update-actie behoeven. Android-toestellen en iPhones zijn in de regel niet kwetsbaar omdat die over het algemeen geen gebruikmaken van processoren van Intel. Hardwarefabrikanten zijn daarnaast bezig met het beschikbaar stellen van de Intel-microcodeupdates voor hun producten.
Update het besturingssysteem op jouw VPS zo snel mogelijk
Het VPS-platform van TransIP maakt gebruik van Intel-processoren. Direct na publicatie van de kwetsbaarheid zijn wij een onderzoek gestart naar de impact voor onze systemen. Inmiddels zijn kernel-updates voor onze hypervisors uitgekomen. Daarnaast verwachten we vandaag ook updates voor BIOS en QEMU. Zodra deze updates beschikbaar zijn starten wij met het updaten van al onze systemen. Dankzij onze automatische migraties kunnen wij ons gehele platform updaten zonder dat jij daar hinder van ondervindt.
Gezien de aard van deze kwetsbaarheid adviseren we je om de komende tijd regelmatig te controleren of er updates voor jouw VPS beschikbaar zijn. We raden je aan deze updates zo snel mogelijk uit te voeren. In onze knowledge base leggen we uit hoe je jouw operating system en kernel kan updaten.
Intel in de clinch met onderzoekers
De onderzoeksteams en Intel liggen ondertussen in de clinch. Intel bagatelliseert volgens de onderzoekers de gevolgen van de kwetsbaarheid en de onderzoekers uit Amsterdam gaven zelfs aan dat Intel aan heeft geboden om in plaats van het bugbountybedrag van 100.000 dollar te betalen een vergoeding van 40.000 dollar te geven, samen met een schenking van 80.000 euro. Na dreiging met openbaring van het lek, werd de 100.000 dollar bugbounty hersteld.
Bedankt voor het toelichten!