Meltdown en Spectre, wat moet ik doen?

Door: Xillion, partner in ICT-oplossingen

Hieraan is al door verschillende media aandacht besteedt, helaas vaak behoorlijk technisch en daardoor moeilijk te begrijpen. Met dit blogartikel hoop ik u, zonder teveel in technische details te duiken, uit te kunnen leggen wat deze beveiligingsproblemen zijn en welke gevaren ze met zich meebrengen en wat u ertegen kunt doen.

Wat zijn Meltdown en Spectre?
Meltdown (CVE-2017-5753 en CVE-2017-5715) en Spectre (CVE-2017-5754) zijn beide beveiligingsproblemen die door onderzoekers van Google Project Zero afgelopen zomer zijn ontdekt. Vanuit Project Zero zijn de leveranciers, in dit geval Intel en AMD, hierover ingelicht. Op hun beurt hebben zij de software-industrie (Microsoft, Apple, Linux, etc.) gevraagd om aanpassingen in hun producten door te voeren om het probleem te omzeilen.  Hiervoor heeft men behoorlijk wat tijd moeten nemen maar in de afgelopen dagen zijn de patches gepubliceerd en heeft ook Project Zero zijn bevindingen publiekelijk bekend gemaakt.

In beide gevallen betreft het een fout in de architectuur c.q. de werkwijze van moderne processoren. Processoren zoals deze in computers en servers maar ook smartphones en tablets gebruikt worden. Door deze fouten is het mogelijk om in het geheugen van de kernel en andere applicaties te kijken. In het geval van virtualisatie is het zelfs mogelijk om in het geheugen van een andere virtuele machine te kijken. Vooral van deze laatste mogelijkheid is men geschrokken omdat dit kan betekenen dat virtuele servers bij Cloud providers gebruikt kunnen worden om data van andere klanten bij die providers op te vragen.

Hoe werken Meltdown en Spectre?
Meltdown en Spectre baseren zich beide op missende beveiliging in de “Out-Of-Order Execution”, het niet in volgorde uitvoeren van code. Moderne processors analyseren de programmacode die zij aangeboden krijgen en proberen deze zo efficiënt mogelijk uit te voeren. Dat kan soms betekenen dat bepaalde stukken code al eerder uitgevoerd worden. Een mooie vergelijking maakt Bert Hubert in zijn blog, hij legt het uit alsof de processor een kok is. Deze bekijkt het recept dat hij moet gaan maken en past in sommige gevallen de volgorde van de stappen aan omdat dat sneller of efficiënter is.  Bij de processor is dat aanpassen speculatief. Als achteraf blijkt dat er parameters zijn aangepast moet de code alsnog een keer uitgevoerd worden.

Omdat de processor echter niets over zijn aanpassingen verklapt kan de bestaande beveiliging, die ervoor zorgt dat verschillende programma’s niet aan elkaars data kunnen, hier geen rekening mee houden. Let wel, het gaat hierbij alleen om data in het cachegeheugen, bij moderne processoren slechts een paar MB. Het is ook niet mogelijk om dit geheugen rechtstreeks uit te lezen, maar door bepaalde trucs toe te passen is het mogelijk om de inhoud met grote waarschijnlijkheid te bepalen.

Hoe gevaarlijk zijn Spectre en Meltdown?
Het is gelukkig erg moeilijk om een succesvolle aanval op basis van Meltdown te doen. Een aanval op basis van Spectre is nog moeilijker.  Er zijn zogenaamde Proof-Of-Concepts gemaakt die laten zien dat het kan. Een echte aanval op basis van deze technieken is echter nog niet bekend en voorlopig nog onwaarschijnlijk.

Om een aanval succesvol uit te kunnen voeren moet het in eerste instantie al lukken om malware op het systeem te starten. Daarnaast is er vervolgens veel kennis nodig over de op het systeem draaiende processen. In een Cloud omgeving waar verschillende klanten servers hebben draaien op dezelfde hardware is het risico het grootst. Een aanvaller heeft op zijn eigen server alle vrijheid en tijd om onopgemerkt een aanval op de virtuele servers van anderen te starten.

De IT-wereld is behoorlijk geschrokken van deze fouten, vooral omdat men tot nu toe altijd gezocht heeft naar fouten in software. Deze waren vervolgens relatief snel met een update van de betreffende software op te lossen. In dit geval gaat het om een (ontwerp)fout in de hardware en die is niet eenvoudig met de installatie van een update aan te passen.

Wat kunt je ertegen doen?
De Meltdown fout werkt alleen op Intel processors en voor de meeste actuele besturingssystemen zijn er al updates beschikbaar of aangekondigd die het misbruik onmogelijk maken. Het betreft hierbij een combinatie van een firmware update voor de processor en een aanpassing in het besturingssysteem. Met deze update en aanpassing wordt de “out-of-order execution” beperkt.

Voor Spectre ligt dat helaas wat moeilijker. Spectre is van toepassing op zo’n beetje alle moderne processoren; naast die van Intel en AMD ook ARM-processoren zoals die in veel smartphones en tablets gebruikt worden.  Helaas is er geen one-size-fits-all oplossing voor dit probleem. De verwachting is dan ook dat we de komende tijd nog regelmatig updates gaan zien om Spectre gerelateerde lekken te dichten.

De processorfabrikanten zullen uiteindelijk het probleem in hun nieuwe processoren moeten gaan oplossen. Het zal echter zeker 2 tot 3 jaar duren voordat er processoren op de markt gaan komen die niet meer vatbaar zijn voor dit probleem.

Welke impact heeft het dichten van het lek?
Om te voorkomen dat het lek in de processoren misbruikt kan worden kunnen besturingssystemen extra controles uitvoeren. Deze controles zorgen echter voor vertraging en zorgen ervoor dat het vooruit rekenen van de processoren van Intel beperkt wordt. Hierdoor daalt effectief de prestatie. De eerste tests van systemen waarop de patches zijn geïmplementeerd laten dan ook een lagere performance van systemen zien. Afhankelijk van het type applicatie gaat het daarbij om een paar procent op werkplekken en laptops tot bijna 40% bij specifieke functies. Vooral database-applicaties blijken gevoelig.

Ook zijn er enkele situaties bekend waarin bepaalde software niet meer goed werkt. Dit betreft vooral software zoals antivirusprogramma’s die diep in het systeem genesteld zijn. Dit is in de meeste gevallen met een update van de desbetreffende software te verhelpen.

Wat doen wij?
Binnen onze monitoring en beheer dienstverlening nemen we deze updates mee in de reguliere maandelijkse en 3-maandelijkse onderhoudsvensters.  Ook onze partners zullen de updates met gepaste prioriteit uitrollen zodra deze beschikbaar zijn.  Naast werkplekken en servers zullen ook verschillende hardware-appliances van updates voorzien gaan worden. Denk hierbij aan opslag apparaten (SAN/NAS) en firewalls.

Onze servers die vanuit het internet bereikbaar zijn op diverse protocollen (zoals bijvoorbeeld onze shared webhosting en dns servers) hebben we ondertussen, voor zover beschikbaar, van updates voorzien. Ook onze partners zoals Uniserver en Microsoft hebben al mitigerende maatregelen genomen of updates geïnstalleerd.

Klik HIER voor meer informatie.

Xillion, partner in ICT-oplossingen