Een kwetsbaarheid in veel Core i- en Xeon-cpu’s stelt malware in staat om gegevens van actieve processen uit te lezen die op dezelfde kern draaien.
Na Spectre en Meltdown is er nu een nieuwe kwetsbaarheid ontdekt in Intel-processors waardoor via een side-channel attack afgescheiden geheugenbereiken doorbroken kunnen worden en malware de gegevens van parallel-draaiende processen kunnen worden uitgelezen, ook als deze in een virtuele machine op hetzelfde systeem draaien. Dan moeten wel zowel de malware als het doelproces in dezelfde processor-core draaien. AMD heeft bevestigd dat hun processors niet kwetsbaar zijn voor het veiligheidslek.
Bij toeval ontdekte Stephan van Schaik van de Vrije Universiteit de kwetsbaarheid, die Rogue In-Flight Data Load ofwel RIDL is gedoopt. Een variant van deze kwetsbaarheid is gevonden door onderzoekers van de KU Leuven, die zij Fallout hebben genoemd. Samen met de VU hebben zij een website opgezet waar zowel RIDL als Fallout worden beschreven.
Bij het onderzoek naar het veiligheidslek waren ook medewerkers betrokken die enkele jaren geleden het Spectre-veiligheidshek hadden ontdekt. In het team zaten medewerkers van de TU Graz, Cyberus Technology en het Worcester Polytechnic Institute. Zij gebruiken de term ‘ZombieLoad-attacks’, maar Intel verwijst naar deze lekken als ‘Microarchitectural Data Sampling’-kwetsbaarheden (MDS). Aanvallers kunnen niet precies sturen welke gegevens ze willen afluisteren. Om gevoelige data te kunnen uitfilteren moet de aanval lange tijd actief zijn en zoveel mogelijk gegevens verzamelen. Blijkbaar is de kwetsbaarheid het meest effectief wanneer hyper threading (HT) actief is. Het bedrijf Cyberus heeft een korte video gepubliceerd waarin wordt getoond hoe een exploit op een als zeer veilig geldende Linux-installatie een tor-browser kan afluisteren.
Cyberus Technology demonstreert hoe een ZombieLoad-exploit te werk gaat (bron: Cyberus Technology)
De nieuwste Intel processors zijn niet kwetsbaar voor de MDS-aanvallen, maar oudere cpu’s wel. Intel heeft microcode-updates beschikbaar gesteld voor oudere Core i- en Xeon-cpu’s. De MDS-aanval (CVE-2018-12130) is van toepassing op bijna alle Core i- en Xeon-processors die sinds 2011 zijn verschenen: Core i-8000U (Whiskey Lake-U) voor Notebooks, Core i-9000 (Coffee Lake Refresh) vanaf stepping 13 (R0) voor desktop-pc’s en Xeon-SP uit de tweede generatie (Cascade Lake). Het is niet altijd eenvoudig te weten welke wel en welke niet, want de Core i9-9900K is er bijvoorbeeld met de oudere stepping 12 (Intel64 family 6 model 158 stepping 12) en met de recentere stepping 13 (Intel64 family 6 model 158 stepping 13). Het is echter mogelijk vast te stellen welke variant er precies in een systeem zit met software zoals CPU-Z. Intel heeft een pagina op zijn website gepubliceerd waarop staat welke processors getroffen zijn.
Het gevaar voor de gemiddelde thuis-pc zal relatief beperkt zijn, met name omdat daar veelal veiligheidslekken zijn die eenvoudiger kunnen worden uitgebuit. Een groter risico lopen cloudservers waarbij externe klanten virtuele machines kunnen starten met de malware erop. Indien er geen patches voor de servers zijn, kan als tussenoplossing het hyperthreading worden uitgeschakeld.
Inmiddels zijn er patches van Intel verschenen, en ook voor besturingssystemen zoals Windows en Linux. Hieronder staat een uitgebreide lijst met links naar de informatiesites van onderzoeksinstellingen en de websites van onder andere Intel, Windows , VMware en diverse Linux-distributies.
Informatie over de MDS-veiligheidslekken
Vrije Universiteit Amsterdam
RIDL and Fallout: MDS attacks
TU Graz
Zombieloadattack.com
Cyberus Technology
ZombieLoad: Cross Privilege-Boundary Data Leakage
Intel
Intel Security Advisory Intel-SA-00233
GitHub: Intel-Linux-Processor-Microcode-Data-Files
Microsoft
Microsoft Guidance to mitigate Microarchitectural Data Sampling vulnerabilities
Windows 10 1809, Windows Server 2019 all versions: KB4494441
Windows 10: KB4494454: Intel Microcode Updates
Windows 10 1709: KB4494452: Intel Microcode-updates
Windows 8.1, Windows Server 2012 R2: KB4499151 (Rollup)
Windows 8.1, Windows Server 2012 R2: KB4499165
Windows Server 2012, Windows Embedded 8 Standard: KB4499158
Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1: KB4499175
Red Hat
MDS vulnerabilities explained in ~three minutes
MDS – Microarchitectural Data Sampling
SUSE
SUSE addresses Microarchitectural Data Sampling Vulnerabilities
Xen
Xen Security Advisory XSA-297
VMware
VMware Security Advisory VMSA-2019-0008
(VMware ESXi 6.0, 6.5, 6.7, Workstation 15.x, Fusion 11.x)
(Christof Windeck)