Kwetsbaarheden MELTDOWN en SPECTRE:

Risico analyse en aanbevelingen

Begin dit jaar zijn er beveiligingslekken met verstrekkende gevolgen bekend gemaakt. In de huidige processoren (CPU’s) van de vendoren Intel, AMD en ARM zijn kwetsbaarheden ontdekt, waardoor vertrouwelijke informatie bemachtigd kan worden. Een aanvaller kan “Meltdown” en “Spectre” misbruiken, om toegang te krijgen tot het systeemgeheugen en de processor uitlezen. Omdat de betreffende componenten veel worden gebruikt, zijn miljarden computersystemen hierbij betrokken.

Potentiële risico's

Een aanvaller kan gevoelige gegevens uitlezen in het geheugen van een aangetast systeem, zoals wachtwoorden, TLS-sleutels en vertrouwelijke informatie.

Om misbruik te maken van de kwetsbaarheid, moet een aanvaller een speciale malware op het systeem uitvoeren. Hiervoor is toegang tot het systeem nodig door middel van een geldig gebruikersaccount, bijvoorbeeld via een Remote Desktop Protocol (Windows-systeem) of een SSH (Linux-systeem). Een andere manier om zich toegang tot het systeem te verschaffen, is de distributie van malware via een e-mailbijlage of een download: dit aanvalscenario (Meltdown) is de meest kritieke kwetsbaarheid en maakt lokaal misbruik van een zwak punt (Local Privilege Escalation). Standaard gebruikersrechten zijn al voldoende om een aanval uit te voeren.

Het tweede aanvalscenario (Spectre) is moeilijker om misbruik van te maken, maar de malware kan bijvoorbeeld overgebracht worden via een browser met JavaScript. Daarom zijn security patches noodzakelijk voor het besturingssysteem en de applicatiesoftware (bijv. browser).

Aangetaste systemen

In principe zijn alle huidige processoren van Intel, AMD en ARM aangetast, maar de meest kritische kwetsbaarheid (Meltdown) heeft kennelijk alleen betrekking op Intel en ARM. Hierdoor zijn alle standaard systemen een mogelijk doelwit: desktops, laptops/notebooks, servers, maar ook cloud-systemen, smart devices en de IoT (Internet of Things).

Terminal servers en virtuele systemen met meerdere gebruikerslogins lopen een groter risico. Een aanvaller kan gevoelige informatie verkrijgen zoals administrator wachtwoorden door een standaard gebruikersaccount te gebruiken.

Netwerkapparaten zoals firewalls, switches en routers worden deels getroffen door de kwetsbaarheden. Als het systeem verder optimaal geconfigureerd is, dan is het lastiger, om deze kwetsbaarheden uit te buiten, omdat je eerst toegang tot het systeem moet hebben. Bij het bepalen van individuele risico's moet je rekening houden met de systeembeveiliging, een sterke authenticatie, stealth mode, enzovoort.

Beveiligingsmaatregelen

Ook al zitten de zwakke plekken in de hardware, de kwetsbaarheden kunnen beperkt worden door software updates. Een prestatievermindering is te verwachten, maar gelukkig is er alleen een merkbaar effect in speciale omgevingen. In de meeste gevallen zullen de prestaties met een paar procent verminderen.

Alle systemen moeten worden geüpdatet. Besturingssystemen en microcode updates van de processor horen hier ook bij, deze worden aangeboden door de vendor (OEM) via een BIOS-update.

Om de beveiligingsmaatregelen te prioriteren, moeten systemen met multi-user mogelijkheden eerst geüpdatet worden. Daarna moeten content security en endpoint security systemen aan de beurt komen, gevolgd door server en client systemen.

Maatregelen voor cloud-systemen

Cloud-omgevingen aangeboden door Amazon en Google hebben al patches tegen kwetsbaarheden. Microsoft Azure is voor het grootste gedeelte geüpdatet – maar sommige systemen vergen een reboot. Om te bepalen of je systemen een reboot nodig hebben, controleer de “Azure Service Health Planned Maintenance Section” op de Azure portal.

Deze maatregel beschermt tegen aanvallen van virtuele machines. Ook moeten updates worden uitgevoerd voor het besturingssysteem op de virtuele systemen.

https://portal.azure.com/#blade/Microsoft_Azure_Health/AzureHealthBrowseBlade/plannedMaintenance

https://azure.microsoft.com/en-us/blog/securing-azure-customers-from-cpu-vulnerability/

https://aws.amazon.com/security/security-bulletins/AWS-2018-013/

https://support.google.com/faqs/answer/7622138#gce

Systemen die niet kunnen worden geüpdatet 

Als je systemen hebt die niet geüpdatet kunnen worden, dan raden we je aan om ze te isoleren in een apart netwerksegment en hen te beschermen met een firewallen Intrusion Prevention System (IPS). Dit geldt vooral voor systemen met gevoelige gegevens. Toegang tot deze systemen (bijvoorbeeld door remote maintenance services) moet strikt worden beperkt.

Meer informatie en bronnen:

De kwetsbaarheden hebben de volgende CVE-nummers:

  • CVE-2017-5715 (branch target injection)
  • CVE-2017-5753 (bounds check bypass)
  • CVE-2017-5754 (rogue data cache load)

Aanbevelingen van verschillende processor vendoren:

AMD: https://www.amd.com/en/corporate/speculative-execution

ARM: https://developer.arm.com/support/security-update

Intel: https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr

Kijk voor een volledig overzicht en de actuele status van een probleem op

https://meltdownattack.com/ resp. https://spectreattack.com/

Meer informatie door security vendoren inclusief ons security portfolio: