In diverse media zijn berichten verschenen over kwetsbaarheden in Intel-processoren die 14 mei jl. aan het licht zijn gekomen. In dit artikel willen we u graag nader informeren.

UPDATE 22 mei 2019:

Voor de Intel MDS kwetsbaarheid (CVE-2019-0708) heeft Palo Alto Networks een specifieke signature opgesteld. Deze is in content versie 8154 opgenomen en kan worden gedownload als dynamische update voor PANOS of vanaf de Palo Alto support portal.

Microsoft Remote Desktop Services Remote Code Execution Vulnerability
Unique Threat ID 55815
Severity critical
CVE-2019-0708

Wat is ZombieLoad, RIDL en Fallout?

Dit zijn zogenaamde ‘side-channel’ attacks[1], waarbij het mogelijk is om geheugen uit te lezen dat normaliter niet toegankelijk zou moeten zijn. Zo kan gevoelige informatie worden uitgelezen, zoals wachtwoorden en browserhistorie.

Het heeft hiermee overeenkomsten met Meltdown & Spectre uit januari 2018[2]. De kwetsbaarheden staan samen ook wel bekend als MDS (Microarchitecture Data Sampling[3]).
De kwetsbaarheden zijn bekend onder de volgende CVE-IDs:

  • CVE-2018-12126
  • CVE-2018-12127
  • CVE-2018-12130
  • CVE-2019-11091

Wat is er kwetsbaar?

Apparaten met Intel-processoren die de aan deze kwetsbaarheden onderliggende ontwerpfouten bevatten, zijn kwetsbaar. Dat kunnen computers zijn, maar bijvoorbeeld ook smartphones, tablets, mediacenters en smart-tv’s.
Er is inmiddels een overzicht opgesteld van alle kwetsbare processoren[4].

Hoe ernstig is het?

Helaas is deze vraag (nog) niet te beantwoorden. In potentie is het lek zeer ernstig, maar concreet bewijs dat er daadwerkelijk succesvolle aanvallen hebben plaatsgevonden, is er vooralsnog niet.

Welke mitigerende maatregelen kunnen er worden getroffen?

Intel brengt voor de getroffen processoren zogeheten microcode-updates (MCU’s) uit als onderdeel van het reguliere updateproces voor OEMs. Deze worden uitgebracht met corresponderende updates voor het besturingssysteem en de hypervisor-software. Meer informatie over de microcode-updates is te vinden op de website van Intel[5].

Wat adviseert ON2IT?

ON2IT adviseert om zo spoedig mogelijk de besturingssystemen en processoren te updaten. Wel is het zaak om deze updates, net als andere updates, grondig te testen op compatibiliteit en performance.

Daarnaast is het van belang dat u de toegang tot verschillende systemen beperkt tot geautoriseerde personen (deze kwetsbaarheid is namelijk alleen uit te buiten als er al toegang is tot een systeem).

Indien u gebruikmaakt van shared of cloudomgevingen adviseert ON2IT om contact op te nemen met uw leverancier. Palo Alto Networks en ON2IT volgen de ontwikkelingen op het gebied van deze kwetsbaarheid op de voet.

Heeft Zero Trust effect op de impact van deze kwetsbaarheden?

Jazeker, bij een Zero Trust-architectuur heeft een kwaadwillende niet zomaar toegang tot systemen en kunnen eventuele aanvallers niet ongestoord en ongezien om zich heen grijpen.

Wanneer een kwaadwillende een systeem compromitteert, kan hij niet zomaar door naar een volgend systeem. Dus het volgen van de Zero Trust-strategie zorgt ervoor dat, ook in dit geval, de impact aanzienlijk wordt verkleind.

Bronnen:
[1] https://en.wikipedia.org/wiki/Side-channel_attack
[2] https://on2it.net/meltdown-en-spectre/
[3] https://www.intel.com/content/www/us/en/architecture-and-technology/mds.html
[4] https://www.intel.com/content/www/us/en/architecture-and-technology/engineering-new-protections-into-hardware.html
[5] https://software.intel.com/security-software-guidance/software-guidance/microarchitectural-data-sampling

Mocht u vragen hebben naar aanleiding van deze kwetsbaarheid, neemt u dan contact op met het ON2IT SOC. Wij zijn 24×7 bereikbaar via 088-2266201, servicedesk@on2it.net en https://portal.on2it.net.