Het jaar is nog maar net begonnen, maar we hebben nu al te maken met een klapper van een vulnerability: de dubbeldekker Spectre en Meltdown. Beide vulnerabilities richten zich op moderne processors, zoals AMD, Intel en ARM, en kunnen ongeoorloofd, en ongemerkt, toegang geven tot het kernelgeheugen van computers. Hierdoor kan informatie die normaal gesproken niet toegankelijk hoort te zijn voor buitenstaanders ineens toch bereikt worden.

De vulnerability wordt veroorzaakt door een techniek die “speculative execution” wordt genoemd. Dit houdt in dat de processor cache tijdens het uitvoeren van een programma alvast vooruit werkt, zodat het proces versoepeld kan worden en het minder lang duurt om uit te voeren. De onderzoekers kwamen er echter achter dat tijdens dit proces alle mogelijke uitkomsten van een proces alvast in de cache worden opgeslagen, waardoor ook mogelijk gevoelige informatie zoals wachtwoorden of security keys benaderbaar bleken door processen die daar, normaal gesproken, geen toegang toe zouden moeten krijgen.

Hoe werkt het?
Zowel Spectre als Meltdown maken gebruik van de mogelijkheid van de processor cache om vooruit te lezen en informatie op te slaan. Het proces vraagt dan informatie op, zoals een wachtwoord. Het proces van de aanvaller zal geen rechten hebben om deze gegevens uit te lezen, waardoor de informatie niet terug wordt gegeven aan het proces. Maar dankzij de processor cache, wordt het wel alvast opgevraagd en tijdelijk opgeslagen.

Door te timen hoe lang het duurt voor het proces antwoord geeft, weet de aanvaller of deze informatie werd opgevraagd vanuit de cache, wat snel zal zijn, of uit het geheugen, wat langer duurt. Hoewel de aanvaller dus nooit direct je wachtwoord meteen op zijn scherm te zien zal krijgen, is de informatie die een timer geeft in dit geval genoeg om, door middel van een eliminatieproces, teken voor teken een string te controleren tegen de gegevens die al in de cache zitten. Hoewel dit ongetwijfeld een lang proces zal zijn, wordt het op de achtergrond uitgevoerd en zal de gebruiker van de computer er geen weet van hebben.

Het venijn van deze aanvallen zit hem voornamelijk in het feit dat het zo’n laag instappunt heeft: zodra een proces toegang heeft tot jouw computer, en dus gebruik mag maken van jouw processor, kan het al misbruik maken van deze vulnerability. Dit kan al een simpel javascript-proces zijn dat in een browser wordt opgestart. Daarnaast loopt een virtuele machine extra risico, omdat de processor niet alleen gebruikt wordt door de eigen VPS, maar ook door de VPS’en die op dat moment op dezelfde node actief zijn. Om dezelfde reden zijn cloud toepassingen dus ook vatbaar.

Spectre en Meltdown
Het voornaamste verschil tussen Spectre en Meltdown is te vinden in de processor chips die getroffen worden: Meltdown werkt alleen op Intel chips, Spectre treft ook AMD en ARM chips. Meltdown maakt hiervoor misbruik van een Intel-proces, terwijl Spectre een meer algemene aanpak heeft.

bron: https://danielmiessler.com/blog/simple-explanation-difference-meltdown-spectre/

Wat kunt u doen?
Het probleem van Meltdown en Spectre zit hem in de scope van de vulnerability: het treft een enorme verscheidenheid aan processor chips. Er zijn wel software patches beschikbaar. Voor Meltdown zijn deze iets meer rechtlijnig, maar de chips die getroffen worden door Spectre zijn, doordat de vulnerability zo breed te misbruiken is, veel lastiger in te zetten. Het is desalniettemin wel verstandig om te patchen wanneer dat mogelijk is.

Qualys heeft Meltdown en Spectre opgenomen in hun Vulnerability Management module, waardoor u in uw dashboard een overzicht kunt opvragen van de getroffen units. Dit dashboard is handig opgesplitst, waardoor u in één oogopslag kunt zien hoeveel assets er getroffen zijn, welke OS er op die assets draait, en voor welke vulnerability ze gevoelig zijn.

Door de enorme wereldwijde impact die deze vulnerabilities veroorzaken zal het laatste voorlopig nog niet gezegd zijn over Meltdown en Spectre. Wanneer er belangrijke ontwikkelingen zijn, zullen wij onze post updaten.

Lees relevante artikelen

Categorie  Bedrijfsnieuws SSL & Security Vulnerability of the Month | Tags  Security vulnerability