Blog overzicht

Meltdown en Spectre zijn nu al kandidaten voor de grootste kwetsbaarheid van 2018 (geüpdatet)

Vandaag zijn twee beveiligingslekken bekendgemaakt die een potentieel gevaar vormen voor vrijwel alle apparaten die direct of indirect in je bezit zijn. Denk hierbij aan je laptop en smartphone tot aan de server waar je website op draait. Op dit moment is er nog weinig bekend over Meltdown en Spectre. Overal ter wereld zijn ontwikkelaars bezig om zo snel mogelijk de kwetsbaarheden te dichten.

Hou dit blog in de gaten om op de hoogte te blijven van de laatste ontwikkelingen. Bekijk direct wat je moet doen of ga naar de tijdlijn.


Het security-jaar is turbulent van start gegaan. Op het blog Python Sweetness verscheen op 1 januari een post waarin de auteur een aantal berichten en patches in de Linux-kernel aan elkaar knoopt. Hij concludeert dat er waarschijnlijk sprake is van een grootschalige kwetsbaarheid in processors.

Na enkele dagen van speculatie is op 4 januari de officiële documentatie over de kwetsbaarheden aan het publiek gepresenteerd. Hierin is duidelijk gemaakt dat de kwetsbaarheden misbruik maken van zogenaamde “Speculative Execution”; een optimalisatiestap die vrijwel alle moderne processors gebruiken om geheugendata uit te lezen die niet bereikbaar hoort te zijn.

Meltdown attack logo

Meltdown

De Meltdown-aanval zorgt ervoor dat de scheiding tussen gebruikersapplicaties en het operating system (OS) kan worden gecompromitteerd. Hierdoor krijgt een aanvaller volledige toegang tot het geheugen van een systeem, en bereikt daarmee gevoelige gegevens van het OS en andere programma’s.

Op dit moment zijn praktisch alle Intel-processors kwetsbaar voor de Meltdown-aanval. Voor AMD- en ARM-processors is dit nog niet duidelijk. Er zijn softwarepatches beschikbaar om de kwetsbaarheid op te lossen. Deze zullen de komende weken door de verschillende OS-uitgevers worden gedistribueerd.

Spectre attack logo

Spectre

Bij de Spectre-aanvallen kan worden geforceerd dat code uit een ander programma wordt gedraaid die onder normale omstandigheden niet zou worden uitgevoerd, waardoor vertrouwelijke informatie kan worden gelekt.

Zowel Intel- als AMD- en ARM-processors zijn kwetsbaar voor Spectre. Een aanval die moeilijker is uit te voeren dan Meltdown en daarnaast ook moeilijker is af te wenden. De beschikbare maatregelen zijn zeer beperkt en beschermen alleen bij specifieke aanvallen.

TransIP

Alle ontwikkelingen houden we nauwlettend in de gaten. We zijn daarnaast in direct contact met onze leveranciers over kernel-, firmware- en microcode-updates en voeren benodigde updates zo spoedig mogelijk uit op onze platforms. Deze week nog komen de officiële security-updates voor de Linux-kernel uit, die we direct zonder downtime voor de klanten zullen doorvoeren.


Implicaties en wat je eraan kan doen

Verschillende onderzoekers hebben inmiddels Proof of Concepts gepresenteerd die misbruik maken van deze kwetsbaarheden. Zo is het bijvoorbeeld mogelijk geheugen uit te lezen en wachtwoorden te stelen. Voor de kwetsbaarheden zijn nog maar beperkt maatregelen beschikbaar. De patches die wel beschikbaar zijn, hebben mogelijk sterke impact op de snelheid van systemen.

Meltdown en Spectre maken beiden gebruik van kwetsbaarheden in hardware. Ontwikkelaars werken op dit moment aan updates voor de verschillende besturingssystemen. Het is verstandig de komende tijd extra alert te zijn op OS-updates, firmware-updates voor je processor en software-updates van bijvoorbeeld je browser.

Hoe krijg je deze updates binnen?

Het installeren van updates voor de kwetsbaarheden verschilt per apparaat en besturingssysteem. Zie hieronder de geadviseerde stappen voor de meestgebruikte besturingssystemen. Vergeet niet dat het alleen het updaten van je systeem geen volledige bescherming biedt! Het is daarnaast belangrijk om je software zoals browsers en de BIOS/firmware van je computer te updaten voor maximale bescherming. Ook dit wordt hieronder behandeld.

Updates voor besturingssystemen (OS-updates)

Windows:

Microsoft heeft een security-update vrijgegeven voor Windows 10 onder de naam KB4056892 en er zijn inmiddels ook updates voor oudere versies van Windows verschenen. Je krijgt automatisch een notificatie binnen om deze update te installeren. Mocht dit nog niet zo zijn, ga dan naar het venster 'Bijwerken en veiligheid' onder 'Instellingen' om te bekijken of er nog updates in de wacht staan voor jouw systeem. Het is mogelijk dat de update niet start wanneer je andere antivirus-software dan Windows Defender gebruikt. Schakel in dit geval tijdelijk over op Windows Defender om alles goed te laten verlopen.

Linux:

Er zijn verschillende kernel-updates voor Linux uitgebracht die de Meltdown- en Spectre-kwetsbaarheden verhelpen. Volg deze stappen of dit script om te controleren of jouw Linux-distributie op een van deze kernels draait. Zo niet, dan zal het per Linux-distributie afhangen hoe je de updates binnenkrijgt. Raadpleeg hiervoor de website van jouw distributie.

macOS:

macOS High Sierra 10.13.2 heeft een update gekregen tegen de Meltdown-kwetsbaarheid. Er bestaat nog onduidelijkheid of er fixes beschikbaar zijn voor de versies Siera en El Capitan. Alhoewel deze versies eerst wel in het supportdocument genoemd waren, zijn ze later weer verwijderd. Update: ze staan er weer in. Apple geeft aan dat er later updates volgen voor de Spectre-kwetsbaarheid. Ga naar de App Store om te controleren of de optie voor het automatisch installeren van updates aanstaat.

iOS:

Apple's mobiele besturingssysteem voor de iPhone en iPad heeft inmiddels ook updates gehad voor versie 11.2. Ga naar 'About' onder 'Settings > General' om te controleren of je apparaat een update naar deze versie nodig heeft.

Android:

Op 5 januari is een beveiligingsupdate vrijgegeven voor Android-apparaten. Google's eigen Nexus-apparaten kunnen de update direct verwachten terwijl dit voor andere Android-apparaten zal verschillen per fabrikant. Ga naar 'Over de telefoon' onder 'Instellingen' om te controleren wanneer de laatste beveiligingsupdates zijn geïnstalleerd op jouw systeem en of er een nieuwe update beschikbaar is.

Chrome OS:

In versie 63 van Chrome OS zijn maatregelen genomen tegen Meltdown en Spectre. Ga naar 'Controleren op updates' onder 'Over Chrome OS' om te zien of deze update beschikbaar is. Zo niet, controleer dan op deze pagina of jouw Chromebook voor een update in aanmerking komt.

Andere systemen:

Voor Apple TV zijn de kwetsbaarheden verholpen in versie 11.2 van tvOS. Apple laat verder weten dat Apple Watch niet is geraakt door Meltdown en Spectre. Chromecast en andere Google-producten zijn ook buiten de gevarenzone, aldus Google. Bekijk deze pagina voor informatie over andere systemen zoals VMware, Azure, Cisco en NVIDIA.

Updates voor je browsers

Ga naar de instellingen van je browser en klik op 'Check updates' om updates van je browsers te ontvangen. De locatie van deze knop verschilt per browser. Mocht je deze knop niet kunnen vinden, dan heb je ook de optie om je browser opnieuw te installeren nadat je de laatste versie hebt gedownload.

Welke versie van een browser heb je eigenlijk nodig om beschermd te zijn tegen Meltdown en Spectre?

Mozilla Firefox: versie 57

Google Chrome: versie 64, die op 23 januari 2018 uitkomt. Een beta-versie is inmiddels verkrijgbaar. Je kan de beveiligingsfeature 'Site Isolation' activeren om tot die tijd jezelf te beschermen.

Microsoft Edge en Internet Explorer: met de bovenstaande Windows-updates heeft Microsoft ook beveiligingsmaatregelen getroffen voor zijn browsers.

Safari: updates voor Safari op iOS zijn ingebakken in versie 11.2 van iOS. Voor macOS High Sierra 10.13.2 is een extra update verkrijgbaar die zich richt op de Safari-browser.

Updates voor je processor (BIOS- en firmware-updates)

Ga naar de website van je computerfabrikant en installeer de laatste updates voor je BIOS en/of firmware. Bekijk deze lijst voor een overzicht van alle fabrikanten en de bijbehorende webpagina's die zich richten op Meltdown en Spectre.


Tijdlijn Meltdown & Spectre

23 januari 2018

De updates voor Intel-CPU’s tegen Meltdown en Spectre blijken herstartproblemen op meerdere systemen te veroorzaken. Intel vraagt daarom om voorlopig geen updates van de chipfabrikant te installeren en te wachten op een nieuwe patch die zich in de testfase bevindt.

22 januari 2018

De eerdergenoemde Skyfall en Solace-aanvallen blijken om een hoax te gaan. De auteur van de websites spreekt zelf over een sociaal experiment om aan te tonen dat de IT-wereld te heftig reageert op kwetsbaarheden die een merknaam en logo krijgen.

18 januari 2018

Twee nieuwe aanvallen zijn aangekondigd, beiden met hun eigen door James Bond geïnspireerde naam: Skyfall en Solace. Er staat nog maar weinig informatie op de bijbehorende website, maar er wordt wel aangegeven dat het aanvallen op basis van speculative execution betreft die zijn gebaseerd op Meltdown en Spectre.

17 januari 2018

Er zijn verschillende nieuwe kernels gereleased waarin de retpoline-constructies zijn opgenomen. Wij zijn direct begonnen met de uitrol van kernels die retpoline ondersteunen.

15 januari 2018

De Linux mainline kernel (4.15-rc8) wordt gereleased waarin zogenaamde retpoline-constructies zijn toegevoegd. Deze constructies zorgen ervoor dat de speculative execution wordt geleid naar een functie die niet kan worden gemanipuleerd door een aanvaller. Spectre-aanvallen kunnen hierdoor niet meer worden gebruikt op kernel-niveau.

12 januari 2018

In Duitsland is een phishingmail opgedoken die verwijst naar een neppe Duitse overheidspagina waar patches te downloaden zijn voor de Meltdown- en Spectre-kwetsbaarheden. Het ZIP-archief dat gedownload moet worden, bevat de malware Smoke Loader.

Van de webpagina is geen Nederlandse variant bekend, maar het laat wel zien dat iedereen alert moet blijven bij het zoeken naar en het installeren van patches voor Meltdown en Spectre. Let vooral goed op e-mails van overheidsinstanties en fabrikanten die je vragen om op een link te klikken of iets te downloaden. In plaats van zulke acties via de e-mail te voltooien is het verstandiger om je browser te openen en direct naar de website van je computerfabrikant te gaan om vervolgens daar het nodige te downloaden.

11 januari 2018

Intel heeft aangekondigd dat hun firmware-updates kunnen leiden tot reboots van systemen. Hierdoor hebben verschillende fabrikanten hun eigen BIOS-updates ingetrokken.

10 januari 2018

Voor Ubuntu en Linux Mint zijn updates verschenen die gebruikers tegen de Meltdown- en Spectre-kwetsbaarheden moeten beschermen. Aangezien ondersteuning voor Ubuntu 17.04 op 13 januari 2018 stopt, zijn de updates alleen bedoeld voor versie 17.10.

8 januari 2018:

In de recentste update van macOS wordt Safari geüpdatet. Hierin zitten mitigaties voor de JavaScript-aanvallen die gebaseerd zijn op de Spectre-kwetsbaarheid. Deze update is beschikbaar voor 10.11 El Capitan, 10.12 Sierra en 10.13 High Sierra. Bekijk de supportpagina van Apple voor meer informatie.

5 januari 2018

In drie verschillende staten in Amerika zijn class-actionrechtszaken gestart tegen Intel. De aanklagers noemen de kwetsbaarheden zelf, de trage reactie van Intel en de negatieve impact van de fixes op de snelheid van systemen die gebruikmaken van Intel-processors.

Apple had aanvankelijk aangegeven dat zowel macOS High Sierra als macOS Sierra en OS X El Capitan fixes bevatten tegen Meltdown. De laatste twee zijn echter weer verwijderd uit het overzicht. Update: ze staan er weer in.

De oprichter van Raspberry Pi geeft aan dat Raspberry Pi's niet kwetsbaar zijn voor Spectre of Meltdown.

4 januari 2018

De update van Microsoft blijkt in sommige gevallen te leiden tot crashes van systemen. De boosdoeners? Antivirussoftware.

3 januari 2018

Er wordt meer duidelijk over de kwetsbaarheden en er stroomt steeds meer nieuws binnen. Duidelijk is in ieder geval dat laptops en Android-telefoons kwetsbaar zijn. Het is nog niet zeker of er een iOS-update moet komen.

  • Microsoft releaset een update voor Windows 10 onder de noemer KB4056892. Deze update bevat onder andere mitigaties tegen Meltdown.

  • Google Chrome krijgt een update waarin maatregelen zijn genomen tegen Meltdown om ervoor te zorgen dat programma’s geen toegang krijgen tot het systeemgeheugen.

  • Mozilla laat weten te werken aan een fix voor de browser vanaf de eerstvolgende update.

  • Intel komt met een persbericht.

  • Een uitgebreide uitleg over de kwetsbaarheden komt ook vanuit Google Project Zero.

  • De security-onderzoeker van Google Project Zero, Jann Horn, komt naar buiten met nieuws over de kwetsbaarheid.

1 januari 2018

De post waar het balletje door ging rollen.

7 december 2017

Op twitter plaatst TU Graz dat een paar van haar onderzoekers een nieuw soort aanval hebben gevonden.

6 december 2017

Apple heeft in macOS 10.13.2, vrijgegeven op 6 december 2017, een fix geïmplementeerd voor de kernel-securitybug.

1 juni 2017

De kwetsbaarheid wordt gemeld aan Intel, AMD en ARM. Het gaat om 3 varianten die allemaal een CVE-nummer hebben gekregen:

  • Variant 1: bounds check bypass (CVE-2017-5753) Spectre

  • Variant 2: branch target injection (CVE-2017-5715) Spectre

  • Variant 3: rogue data cache load (CVE-2017-5754) Meltdown


Beoordeel dit artikel

Deel dit artikel

Gerelateerde artikelen

Blog overzicht

Auteur: Rory Breuk

Is als senior Security Engineer verantwoordelijk voor de veiligheid van TransIP en de data van klanten. Dagelijks zoekt hij naar manieren om TransIP nog veiliger te maken, waar hij dan ook graag over praat en schrijft.