L1TF/Foreshadow: kwetsbaarheden gevonden in Intel-processoren
Intel maakte gisteravond bekend dat er drie ernstige kwetsbaarheden gevonden zijn in zijn processoren. Deze kwetsbaarheden, genaamd L1TF (L1 Terminal Fault), ook bekend als Foreshadow, bevinden zich in consumentenproducten en serverprocessoren. Voor twee van de drie beveiligingslekken is al een fix beschikbaar, voor het derde lek dat betrekking heeft op virtuele machines is nog geen volledige fix. Er wordt wereldwijd hard gewerkt om deze kwetsbaarheden te verhelpen.
Hou dit blog in de gaten om op de hoogte te blijven van de laatste ontwikkelingen. Onderaan dit artikel staat een tijdlijn van de gebeurtenissen rondom Foreshadow.
Wederom een zwakke plek in de 'Speculative Execution'
Net als de kwetsbaarheden in processoren eerder dit jaar – bekend onder de namen Spectre en Meltdown – zitten de beveiligingslekken nu ook in een optimalisatietechniek genaamd Speculative Execution. De kwetsbaarheden, door de ontdekkers 'Foreshadow' genoemd, hebben tot gevolg dat gegevens uit het geheugen gelezen zouden kunnen worden. Het is echter niet mogelijk om een specifiek doelwit gericht aan te vallen.
Wat gebeurt er bij Foreshadow/L1TF?
Data wordt door de processor continu voorgeladen in het cachegeheugen. De onderzoekers hebben bewezen dat data gelekt kan worden uit de L1-cache. De L1-cache is zeer snel geheugen waar de processor gebruik van maakt. De nu beschikbaar gestelde patches zorgen ervoor dat de L1-cache geleegd wordt zodat deze niet meer kan worden uitgelezen door een ander proces. Daarmee is het probleem voor virtuele servers echter niet verholpen.
Moderne processoren van Intel maken gebruik van hyperthreading waarmee gezorgd wordt voor een optimale performance. Met deze techniek wordt een fysieke processor-core door twee verschillende threads tegelijk gebruikt in plaats van één. Een fysieke core wordt hierdoor door het Operating System gezien als twee cores. Een VM heeft daarmee ook toegang tot de L1-cache van een andere virtuele core en zorgt hiermee voor een beveiligingsrisico. Op de pagina van de onderzoekers vind je in-depth informatie over het onderzoek en de resultaten. Hieronder een visualisatie van het probleem gemaakt door Red Hat.
Wat doet TransIP?
Ook wij maken van Intel-processoren gebruik voor onze systemen. Alle maatregelen die we direct konden nemen om de impact te verminderen, zijn al doorgevoerd. Ook onderzoeken we alle mogelijke maatregelen om dit probleem permanent op te lossen. Daarbij proberen we de impact voor onze gebruikers tot een minimum te beperken.
We zijn daarnaast in direct contact met onze leveranciers over kernel-, firmware- en microcode-updates en voeren nieuwe updates zo spoedig mogelijk uit op onze platforms. Deze week nog komen de officiële security-updates voor de Linux-kernel uit, die we direct op onze systemen zullen doorvoeren.
Wat kan jij nu doen?
De eerste twee lekken zijn te dichten met software-updates. Daarvoor moet jouw server natuurlijk wel de laatste security-updates draaien. In het Knowledge Base-artikel 'Hoe update ik mijn server' lees je hoe je jouw VPS moet updaten, zodat zowel de applicaties als de kernel geüpdatet worden. Voor de derde kwetsbaarheid, met betrekking tot virtual machines, is nog geen definitieve oplossing gevonden. Wereldwijd werken developers hard aan een oplossing voor dit probleem. Mocht er meer bekend worden, dan wordt dit artikel geüpdatet.
Tijdlijn
17 augustus
Er zijn kernel-patches voor CentOs en Red Hat Enterprise Edition uitgebracht. De ontwikkelaars van deze Linux-distributies raden gebruikers aan om deze patches zo snel mogelijk te installeren.
15 augustus
De eerste patches voor de Linux-kernel zijn uitgebracht zoals te zien is in de changelog op kernel.org. In diverse distributies zijn deze patches al doorgevoerd, waaronder Ubuntu, Debian, FreeBSD en OpenSUSE. Deze updates lossen de eerste twee veiligheidsrisico’s van Foreshadow volledig op. Een oplossing voor de derde kwetsbaarheid wordt momenteel nog onderzocht. TransIP is gestart met het updaten van al haar systemen zodat alle beschikbare patches zo snel mogelijk geïmplementeerd zijn.
14 augustus
Intel maakt bekend dat er een aantal ernstige kwetsbaarheden zijn ontdekt in zijn processoren. Deze kwetsbaarheden hebben de naam L1 Terminal Fault (L1TF) oftwel Foreshadow gekregen van de ontdekkers. Microsoft brengt een patch uit voor de kwetsbaarheden die met Foreshadow te maken hebben.
Bedankt voor het toelichten!