Onderzoekers van de Vrije Universiteit Amsterdam hebben een nieuw kritiek lek gevonden in Intel-processors. Ook andere universiteiten en beveiligingsbedrijven openbaren dinsdag nieuwe lekken. Intel en softwarebedrijven komen met patches.
De VU-onderzoekers noemen de kwetsbaarheid die ze gevonden hebben RIDL. Dat staat voor Rogue In-Flight Data Load. Met het lek is alle data die de cpu verwerkt inzichtelijk voor een aanvaller. Het lek is volgens de onderzoekers te misbruiken via bijvoorbeeld javascript op een website. Gebruikers met computers die niet van updates zijn voorzien, zijn daarom kwetsbaar.
Stephan van Schaik, student Informatica, kwam de kwetsbaarheid per toeval tegen tijdens een onderzoek naar een al bekend lek in Intel-processors. De technische details staan beschreven in een paper. Van Schaik ontdekte de kwetsbaarheid in september 2018, zegt hij tegenover NRC. Een Intel-processor uit 2008 bleek het lek ook te bevatten en Intel werd direct gewaarschuwd. Ook Intels Xeon-processors voor servers zijn vatbaar.
Een vergelijkbare kwetsbaarheid werd gevonden door andere onderzoekers, onder andere die van de KU Leuven. Zij noemen hun vondst Fallout. Beiden worden door Intel gekenmerkt als Microarchitectural Data Sampling-kwetsbaarheden. De onderzoekers hebben gezamenlijk een MDS Attack-website online gezet met daarop hun bevindingen.
Wetenschappers van de Oostenrijkse Universiteit van Graz publiceren tegelijkertijd informatie over hun nieuwe kwetsbaarheid: ZombieLoad. Ook die treft Intel-processors. De onderzoekers van Graz hebben ook de website cpu.fail in het leven geroepen met daarop een overzicht van alle nieuwe ontdekkingen. Het gaat volgens onderzoekers om hardwarematige bugs die alle Intel-processors van de afgelopen tien jaar treffen.
De nieuwe lekken volgen ruim een jaar na de ontdekking van de Meltdown-kwetsbaarheid, waarmee informatie uit het geheugen onderschept kon worden. De nieuwe kwetsbaarheden hebben net als toen te maken met speculative execution; het voorspellen van berekeningen wat resulteert in prestatiewinst. Dezelfde teams die destijds Meltdown ontdekten, komen nu met de nieuwe kwetsbaarheden naar buiten.
De Vrije Universiteit heeft het grootste deel van de lekken ontdekt en krijgt als enige partij een beloning van Intel. De universiteit uit Amsterdam ontvangt 100.000 dollar, dat is het hoogste bedrag dat Intel uitkeert aan ontdekkers van kritieke kwetsbaarheden. Volgens NRC probeerde Intel de ernst van het lek te bagatelliseren door 40.000 dollar als beloning aan te bieden en daarnaast nog eens een bedrag van 80.000 dollar los. De universiteit heeft dat aanbod afgeslagen.
Ook hekelt de VU dat Intel verzuimde om Google en Mozilla in te lichten en bovendien zou Intel lang gewacht hebben met het publiceren van de kwetsbaarheden. Herbert Bos, beveiligingsonderzoeker van de Vrije Universiteit, heeft afgedwongen dat Intel in mei naar buiten zou komen, anders zou de universiteit zelf gaan publiceren. Intel had volgens Bos nog wel een halfjaar willen wachten met publicatie. Of er kwaadwillenden van de lekken gebruik hebben gemaakt, is niet bekend.
De informatie over de nieuwe lekken is naar buiten gebracht op Patch Tuesday; het maandelijkse moment waarop Microsoft belangrijke patches uitbrengt voor Windows. Gebruikers wordt aangeraden om software zoals het besturingssysteem en browsers up-to-date te houden. Microsoft, Google en Apple hebben pagina's met informatie over updates die betrekking hebben op MDS-aanvallen online gezet.
Intel heeft een eigen website ingericht over MDS-aanvallen en heeft microcode-updates voor zijn processors uitgebracht en claimt daarop dat een select aantal processors van de achtste en negende generatie hardwarematig beschermd zijn. De beveiligingsonderzoekers schrijven echter dat de RIDL- en Fallout-kwetsbaarheid in alle Intel-processors zit, ook de nieuwste met hardware-aanpassingen tegen Meltdown. Sommige processors van de negende generatie zijn volgens de onderzoekers zelfs kwetsbaarder dan oudere cpu's. AMD- en Arm-processors zijn niet getroffen door de nieuwe lekken.
bron: tweakers.net