Gelukkig nieuwjaar! Drie enorme beveiligingsfouten in Intel, AMD, ARM en andere processors werden woensdag (3 januari) bekendgemaakt. Microsoft heeft een noodpatch uitgebracht voor alle ondersteunde versies van Windows, inclusief Windows 7, Windows 8.1 en Windows 10, maar voegde eraan toe dat gebruikers ook firmware-updates moeten toepassen wanneer deze beschikbaar komen bij apparaatfabrikanten. Google heeft de fout in Android gepatcht met de update van januari 2022-2023, uitgegeven op dinsdag (2 januari), hoewel alleen door Google beheerde apparaten het voorlopig hebben. Patches voor macOS, iOS en Linux zijn mogelijk nog niet volledig beschikbaar.
Twee proof-of-concept-aanvallen, genaamd "Meltdown" en "Spectre", maken gebruik van deze drie fouten, die betrekking hebben op de manier waarop moderne computerprocessors omgaan met het lopende geheugen van applicaties en het kernsysteem, of de kernel, op huidige besturingssystemen.
"Meltdown en Spectre werken op personal computers, mobiele apparaten en in de cloud", zeggen de websites die aan elke fout zijn gewijd en dezelfde inhoud hebben. "Afhankelijk van de infrastructuur van de cloudprovider is het misschien mogelijk om gegevens van andere klanten te stelen."
Een Google-blogpost legde uit dat de fouten het mogelijk maakten dat "een onbevoegde partij gevoelige informatie in het systeemgeheugen kan lezen, zoals wachtwoorden, coderingssleutels of gevoelige informatie die in applicaties is geopend."
Meltdown wist de grenzen tussen kernelprocessen en gebruikersprocessen en lijkt beperkt te blijven tot Intel-chips. Spectre steelt gegevens van actieve applicaties en werkt ook op AMD- en ARM-chips. De Spectre- en Meltdown-websites hebben niet beschreven hoe de verschillende chipsets die op mobiele apparaten worden gebruikt, werden beïnvloed.
AMD ontkende echter dat het werd getroffen door een van de gebreken.
"AMD is niet vatbaar voor alle drie de varianten", zegt het bedrijf tegen CNBC. "Vanwege verschillen in AMD's architectuur denken we dat er op dit moment bijna geen risico is voor AMD-processors."
Wat te doen
Als u Windows 7, 8.1 of 10 gebruikt, moet u de vandaag uitgebrachte Windows-beveiligingsupdate toepassen. Vroege versies van de patches werden in november en december naar Windows Insider-gebruikers gestuurd.
"We zijn bezig met het implementeren van oplossingen voor cloudservices en brengen vandaag beveiligingsupdates uit om Windows-klanten te beschermen tegen kwetsbaarheden die van invloed zijn op ondersteunde hardwarechips van AMD, ARM en Intel", aldus een gedeeltelijke verklaring van Microsoft. "We hebben geen informatie ontvangen die erop wijst dat deze kwetsbaarheden zijn gebruikt om onze klanten aan te vallen."
Er zijn echter een paar vangsten. Ten eerste, tenzij u een door Microsoft geleverde laptop of tablet gebruikt, zoals een Surface, Surface Pro of Surface Book, moet u ook een firmware-update van de fabrikant van uw computer toepassen.
"Klanten die alleen de beveiligingsupdates voor Windows januari 2022-2023 installeren, krijgen niet alle bekende beveiligingen tegen de kwetsbaarheden", staat in een online geplaatst Microsoft-ondersteuningsdocument. "Naast het installeren van de beveiligingsupdates van januari is een processor-microcode of firmware-update vereist. Deze zou beschikbaar moeten zijn via de fabrikant van uw apparaat. Surface-klanten ontvangen een microcode-update via Windows-update."
Ten tweede dringt Microsoft erop aan dat klanten ervoor zorgen dat ze "ondersteunde" antivirussoftware hebben draaien voordat ze de patch toepassen. In een apart document waarin de nieuwe beveiligingspatch wordt uitgelegd, zegt Microsoft dat alleen machines met dergelijke software de patch automatisch krijgen.
Het is niet precies duidelijk wat Microsoft bedoelt met "ondersteunde" antivirussoftware, of waarom Microsoft erop staat dat dergelijke software op de machine moet staan voordat de patch wordt toegepast. Er is een link naar een document dat dit alles zou moeten uitleggen, maar op het moment dat ik dit schrijf, laat op woensdagavond, ging de link nergens.
Ten slotte geeft Microsoft toe dat er "potentiële prestatie-effecten" zijn verbonden aan de patches. Met andere woorden, nadat u de patches hebt aangebracht, kan uw machine langzamer werken.
"Voor de meeste consumentenapparaten is de impact misschien niet merkbaar", stelt het advies. "De specifieke impact verschilt echter per hardwaregeneratie en implementatie door de chipfabrikant."
Om Windows Update handmatig uit te voeren, klikt u op de knop Start, klikt u op het tandwielpictogram Instellingen, klikt u op Updates en beveiliging en klikt u op Controleren op updates.
Apple-gebruikers moeten toekomstige updates installeren door op het Apple-pictogram te klikken, App Store te selecteren, op Updates te klikken en naast items van Apple op Bijwerken te klikken. Er was een onbevestigd bericht op Twitter dat Apple de gebreken begin december al had verholpen met macOS 10.13.2, maar de kwetsbaarheids-ID-nummers (CVE's) die in de Apple-patches van december worden behandeld, komen niet overeen met die van Meltdown en Spectre.
Linux-machines hebben ook patches nodig en het lijkt erop dat iets bijna klaar is. Zoals hierboven vermeld, lost de Android-beveiligingspatch van januari 2022-2023 de fout op, hoewel slechts een klein percentage van de Android-apparaten deze voorlopig zal ontvangen. (Het is niet duidelijk hoeveel Android-apparaten vatbaar zijn.)
Hoe de aanvallen werken
De Meltdown-aanval, die voor zover de onderzoekers weten alleen van invloed is op Intel-chips die sinds 1995 zijn ontwikkeld (behalve de Itanium-lijn en de Atom-lijn van vóór 2013), geeft reguliere programma's toegang tot systeeminformatie die moet worden beschermd. Die informatie wordt opgeslagen in de kernel, het diep verzonken centrum van het systeem waar gebruikershandelingen nooit in de buurt mogen komen.
"Meltdown doorbreekt de meest fundamentele isolatie tussen gebruikersapplicaties en het besturingssysteem", leggen de Meltdown- en Spectre-websites uit. "Door deze aanval krijgt een programma toegang tot het geheugen, en dus ook de geheimen, van andere programma's en het besturingssysteem."
"Als je computer een kwetsbare processor heeft en een niet-gepatcht besturingssysteem draait, is het niet veilig om met gevoelige informatie te werken zonder de kans dat de informatie lekt."
Meltdown werd zo genoemd omdat het "in feite de beveiligingsgrenzen doet smelten die normaal door de hardware worden afgedwongen."
Om de bijbehorende fout te verhelpen, zou het kernelgeheugen nog meer geïsoleerd moeten zijn van gebruikersprocessen, maar er is een addertje onder het gras. Het lijkt erop dat de fout gedeeltelijk bestaat omdat het delen van geheugen tussen de kernel en gebruikersprocessen systemen in staat stelt sneller te werken, en het stoppen van dat delen kan de CPU-prestaties verminderen.
Sommige rapporten zeiden dat de fixes systemen met maar liefst 30 procent zouden kunnen vertragen. Onze collega's bij Tom's Hardware denken dat de impact op de systeemprestaties veel kleiner zou zijn.
Spectre daarentegen is universeel en "verbreekt de isolatie tussen verschillende applicaties", aldus de websites. "Het stelt een aanvaller in staat om foutloze programma's, die best practices volgen, te misleiden om hun geheimen te lekken. In feite vergroten de veiligheidscontroles van genoemde best practices het aanvalsoppervlak en kunnen applicaties vatbaarder worden voor Spectre."
"Alle moderne processors die in staat zijn om veel instructies in de lucht te houden, zijn potentieel kwetsbaar" voor Spectre. "We hebben Spectre met name geverifieerd op Intel-, AMD- en ARM-processors."
De sites leggen verder uit dat detectie van dergelijke aanvallen bijna onmogelijk zou zijn en dat antivirussoftware alleen malware kon detecteren die het systeem was binnengekomen voordat de aanvallen werden uitgevoerd. Ze zeggen dat Spectre moeilijker uit te voeren is dan Meltdown, maar dat er geen bewijs was dat soortgelijke aanvallen 'in het wild' waren gelanceerd.
Ze zeiden echter dat Spectre, zo genoemd omdat het misbruik maakt van speculatieve uitvoering, een veelgebruikt chipsetproces, "ons nog geruime tijd zal achtervolgen".
De verloren kunst van het bewaren van een geheim
Intel, AMD en ARM werden in juni 2022-2023 door Google over deze fouten geïnformeerd en alle betrokken partijen probeerden alles stil te houden totdat de patches volgende week klaar waren. Maar experts op het gebied van informatiebeveiliging die niet op de hoogte waren van het geheim, konden zien dat er iets groots op komst was.
Discussies in Linux-ontwikkelingsforums hadden betrekking op radicale herzieningen van de verwerking van het kernelgeheugen door het besturingssysteem, maar er werden geen details bekendgemaakt. Mensen met e-mailadressen van Microsoft, Amazon en Google waren op mysterieuze wijze betrokken. Het was ongebruikelijk dat de revisies zouden worden teruggezet naar verschillende eerdere versies van Linux, wat aangeeft dat er een groot beveiligingsprobleem werd opgelost.
Dat leidde tot een paar dagen van samenzweringstheorieën over Reddit en 4chan. Op maandag (1 januari) verbond een blogger die zichzelf Python Sweetness noemde "de onzichtbare stippen" in een lang bericht waarin verschillende parallelle ontwikkelingen onder Windows- en Linux-ontwikkelaars met betrekking tot het omgaan met kernelgeheugen werden beschreven.
Late dinsdag (2 januari). Het register verzamelde veel vergelijkbare informatie. Het merkte ook op dat Amazon Web Services aanstaande vrijdagavond (5 januari) onderhoud zou uitvoeren en zijn cloudservers opnieuw zou opstarten. en dat Microsoft's Azure Cloud iets soortgelijks gepland had voor 10 januari.
De dam brak woensdag toen een Nederlandse beveiligingsonderzoeker tweette dat hij een proof-of-concept-bug had gecreëerd die ten minste één van de fouten leek uit te buiten.
Om 15:00. EST Woensdag bracht Intel, dat zijn aandelenkoers met ongeveer 10 procent had zien dalen in de handel van die dag, een persbericht uit waarin de gebreken werden gebagatelliseerd, en zijn aandelen wonnen dienovereenkomstig wat terrein. Maar het bedrijf gaf toe dat de fouten zouden kunnen worden gebruikt om gegevens te stelen, en dat het en andere chipmakers eraan werkten om het probleem op te lossen.
"Intel en andere leveranciers waren van plan om dit probleem volgende week bekend te maken, wanneer meer software- en firmware-updates beschikbaar zullen zijn", aldus de verklaring. "Intel doet deze verklaring echter vandaag vanwege de huidige onnauwkeurige mediaberichten."
Om 17.00 uur kwam Daniel Gruss, een postdoctoraal student informatiebeveiliging aan de Technische Universiteit van Graz in Oostenrijk, naar voren om Meltdown en Spectre aan te kondigen. Hij vertelde ZDNet's Zack Whittaker dat "bijna elk systeem" op basis van Intel-chips sinds 1995 werd getroffen door de gebreken. Het probleem bleek nog erger te zijn.
Gruss was een van de zeven Graz-onderzoekers die in oktober 2022-2023 een technisch artikel publiceerden waarin theoretische gebreken werden beschreven in de manier waarop Linux omging met kernelgeheugen, en een oplossing voorstelde. Python Sweetness, de pseudonieme blogger waarnaar aan het begin van dit verhaal werd verwezen, had blijkbaar gelijk toen hij vermoedde dat die paper centraal stond in de Intel-fout waaraan nu wordt gewerkt.
Om 6:00. EST, de Spectre- en Meltdown-sites gingen live, samen met een Google-blogpost waarin het eigen onderzoek van dat bedrijf werd beschreven. Het bleek dat twee teams onafhankelijk van elkaar Meltdown hadden ontdekt en dat drie verschillende teams gelijktijdig Spectre hadden ontdekt. Google's Project Zero en het team van Gruss in Graz hadden een hand in beide.
Afbeelding tegoed: Natascha Eidl/Publiek domein
- 12 fouten in de computerbeveiliging die u waarschijnlijk maakt
- Beste antivirusbescherming voor pc, Mac en Android
- De beveiliging van uw router stinkt: hier is hoe u dit kunt oplossen