Meltdown en Spectre: Kwetsbaarheden in processoren [afsluitend bericht]

Er zijn kwetsbaarheden in chips ontdekt die door nagenoeg alle laptops, smartphones en computerservers worden gebruikt. Dit kan gevolgen hebben voor zowel bedrijven als thuisgebruikers, omdat gevoelige gegevens kunnen worden bemachtigd.

Afsluitend bericht 8 januari 2018 15:15

Er zijn momenteel geen significante ontwikkelingen te melden rondom de kwetsbaarheden "Meltdown" en "Spectre". De eerder verstrekte duiding en handelingsperspectieven blijven van kracht.

Er verschijnen steeds meer updates van meerdere leveranciers voor specifieke producten. Het NCSC volgt deze ontwikkelingen nauwlettend en werkt regelmatig haar producten vanuit het reguliere proces bij. Blijf daarom onze beveiligingsadviezen lezen. Wanneer relevant publiceren wij hier updates voor.

Update 5 januari 2018 14:45 
Beveiligingsonderzoekers hebben twee nieuwe families van kwetsbaarheden gevonden in moderne processoren. Een aanvaller die deze kwetsbaarheden misbruikt, kan vertrouwelijke informatie bemachtigen door programmacode uit te voeren op de computer van een slachtoffer.

Aanval software (oftewel Proof-of-Concept of PoC) om deze kwetsbaarheden te misbruiken is inmiddels openbaar. Daarom is het belangrijk updates uit te voeren en ontwikkelingen te volgen.

Een aantal leveranciers, waaronder Microsoft en Mozilla, heeft patches aangekondigd of al beschikbaar gesteld. Om de kwetsbaarheden te mitigeren, zijn patches nodig van zowel software- als hardware leveranciers. Het is bij het NCSC nog niet bekend of deze patches een deel van de kwetsbaarheden verhelpen of het volledige probleem wegnemen. Ook is niet bekend of dit in alle gevallen tot verminderde prestaties leidt.

Misbruik van de kwetsbaarheden is complex. Hiervoor is geavanceerde kennis nodig. Het NCSC verwacht dat de groep van mogelijke aanvallers snel zal groeien nu volledige informatie over het onderzoek beschikbaar is. De gepubliceerde aanvalscode (PoC) kan immers worden hergebruikt door aanvallers. Maar het feit dat de PoC's nu beschikbaar zijn, leidt niet direct tot verhoogd risico, omdat niet iedereen een dergelijk complexe aanval kan uitvoeren.

Het NCSC heeft geen informatie die op actief misbruik wijst. Het detecteren van misbruik is echter complex en niet direct zichtbaar. Dit wil dus niet zeggen dat er geen misbruik plaatsvindt.

Meltdown heeft in het bijzonder impact op aanbieders van cloud-/virtualisatiedienstverlening omdat het de onderlinge isolatie van virtuele systemen aantast. De aanval kan in dit geval komen vanuit een gebruiker van die systemen. Hierdoor kan de gebruiker toegang krijgen tot informatie uit het computergeheugen van andere gebruikers.

Met Spectre kunnen aanvallers informatie stelen uit een webbrowser, zoals cookies, TLS-sleutels en wachtwoorden. Een aanvaller die een slachtoffer kan verleiden een website te openen waarop de aanvaller malafide Javascript code heeft geplaatst, kan geheugen stelen dat toebehoort aan de webbrowser.

Om mogelijke aanvallen vanuit een malafide website te mitigeren, moeten eerst updates voor de betreffende browsers geïnstalleerd worden. Indien updates nog niet beschikbaar zijn, kunnen mogelijke gevolgen van een aanval beperkt worden door bepaalde instellingen te veranderen zoals in Google Chrome 'strict site isolation' aan te zetten.

Bestaande maatregelen voor kritische systemen zoals logische of fysieke (netwerk)segmentatie verkleinen de kans op misbruik en schade.

Update 4 januari 2018 18:30
Een aanvaller die de kwetsbaarheden Spectre en Meltdown misbruikt, kan vertrouwelijke informatie bemachtigen door programmacode uit te voeren op de computer van een slachtoffer.

De eerste kwetsbaarheid is van toepassing op computerprocessoren van fabrikant Intel en is door onderzoekers "Meltdown" genoemd. Intelprocessoren zitten in zo goed als alle laptops, desktop- en serversystemen.

De tweede kwetsbaarheid, "Spectre", is van toepassing op processoren van verschillende fabrikanten, waaronder in ieder geval Intel, AMD en ARM. Deze processoren zitten in laptops, desktop- en serversystemen, maar ook in mobiele apparaten zoals telefoons op basis van Android of iOS.

Enkele leveranciers, waaronder Microsoft en Red Hat, hebben updates uitgebracht voor hun respectievelijke producten. Het is bij het NCSC nog niet bekend of deze patches een deel van de kwetsbaarheden verhelpen of het volledige probleem wegnemen.

De impact van deze kwetsbaarheden is nog onduidelijk. Veel automatiseringssystemen ervaren geen direct effect door misbruik van de kwetsbaarheid. Bestaande maatregelen, zoals netwerk segmentatie of applicatie white-listing, zullen de aanvaller minder in de gelegenheid stellen om een aanval uit te voeren of verminderen de schade.

Originele bericht
Het NCSC heeft vandaag beveiligingsadviezen (NCSC-2018-0009 Spectre en NCSC-2018-0010 Meltdown) gepubliceerd voor deze kwetsbaarheden die bekend zijn onder de namen Spectre en Meltdown. Spectre betreft twee kwetsbaarheden in diverse processoren. De kwetsbaarheden zijn aangetroffen in Intel-, AMD- en ARM-processoren en mogelijk zijn ook andere types kwetsbaar. Meltdown betreft een kwetsbaarheid specifiek voor Intel processoren.

Een aanvaller die deze kwetsbaarheden misbruikt, kan vertrouwelijke informatie bemachtigen.

Het NCSC werkt momenteel aan nadere analyses en een mogelijk handelingsperspectief. Zodra er meer informatie bekend is, wordt dit op deze website gepubliceerd.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

 
 

Wat is het NCSC?

CSBN 2017

Nederland digitaal veilig