Twee zeer ernstige kwetsbaarheden gevonden in processors

Enkele onafhankelijke onderzoeksteams ontdekten vorige week twee ernstige kwetsbaarheden in Intel-chips. Beide kwetsbaarheden stellen een aanvaller in staat om via het kerngeheugen gevoelige informatie van applicaties te bemachtigen. De eerste, Meltdown, kan de barrière tussen gebruikersapplicaties en gevoelige delen van het besturingssysteem verwijderen. De tweede, Spectre (die eveneens te vinden is in AMD- en ARM-chips), kan kwetsbare applicaties ertoe verleiden de inhoud van hun geheugen te lekken.

Over het algemeen worden toepassingen die op een apparaat zijn geïnstalleerd in de “gebruikersmodus” uitgevoerd. Ver weg van alle gevoelige onderdelen van het besturingssysteem. Een applicatie kan toegang nodig hebben tot een gevoelig gebied bv. de onderliggende schijf, het netwerk of verwerkingseenheid. In dat geval vraagt deze toepassing toelating om de “beschermde modus” te gebruiken. Meltdown daarentegen stelt een aanvaller in staat de “beschermde modus” en het kerngeheugen te benaderen zonder toestemming. Zo wordt de barrière verwijderd en is de aanvaller in staat gegevens te stelen uit het geheugen van draaiende applicaties. Dat kunnen gegevens zijn van wachtwoordmanagers, browsers, e-mails, foto’s, documenten …

In de praktijk betekent dit dat aanvallers met behulp van Meltdown willekeurig geheugen kunnen lezen. Wachtwoorden, coderingssleutels, aanmeldingen, creditcardgegevens en nog veel meer. Met Spectre kunnen aanvallers het geheugen van een (kwetsbare) applicatie lezen. Bv. als u een website bezoekt, kan JavaScript-code op de website de aanmeldingen en wachtwoorden lezen die in het geheugen van uw broswer zijn opgeslagen.

Meltdown en Spectre zijn hardware-bugs, patchen kan behoorlijk lastig zijn. Linux, Windows en MacOS hebben al patches uitgegeven tegen Meltdown. Maar Spectre is een ander paar mouwen, hier zijn onderzoekers nog steeds druk bezig om applicaties te beschermen. Meer informatie vindt u hier.

In de tussentijd is het belangrijk om, zoals altijd, de laatste beveiligingsupdates te installeren van zodra deze beschikbaar zijn, want het duurt niet lang voordat kwaadwillenden misbruik gaan maken van deze beveiligingslekken – de voorbeeldcode is al gepubliceerd!

Kaspersky

Leveranciers van besturingssystemen haastten zich om Meltdown te patchen. Op 3 januari werden beveiligingsupdates uitgevoerd. Deze updates bleken echter incompatibel met veel beveiligingsoplossingen. Sommige functies van die oplossingen werkten niet meer naar behoren of het besturingssysteem liep gewoon vast.

Maar er is ook goed nieuws: zowel de zakelijke- als de consumentenoplossingen van Kaspersky Lab zijn volledig compatibel met deze update.

Microsoft levert de update alleen als het systeem is gemarkeerd als gereed en de gereedheidsvlag is opgenomen in de updates die op 28 december 2017 zijn geleverd.

Als uw antivirusdatabases up-to-date zijn, is uw computer gereed om de Windows-update te ontvangen waarmee Meltdown wordt opgelost.

Als u de update nog niet hebt ontvangen, raden we u aan het zo snel mogelijk te installeren.

McAfee

McAfee heeft alle producten getest en heeft geen problemen ondervonden met de update van Microsoft.

Onderstaande producten zijn getest en hebben geen last van de beveiligingsupdate:

  • Data Exchange Layer (DXL) 3.1.0 and late
  • Data Loss Prevention 9.4 and later
  • Drive Encryption (DE) 7.1 and later
  • ePolicy Orchestrator (ePO) 5.9 and later
  • ePO MER 3.1 and later
  • ePO MVT 8.2 and later
  • Endpoint Security 10.2 and later
  • File and Removable Media Protection (FRP) 4.3.1 and later
  • Host IPS 8.0 Patch 4 and later
  • McAfee Active Response 1.1 and later
  • McAfee Agent 4.8 Patch 3 and later
  • McAfee Application Control 6.2.0 and later
  • McAfee Client Proxy 1.2 and later
  • MOVE Antivirus Multi-Platform 4.5 and later
  • Management of Native Encryption (MNE) 4.0 and later
  • Network Security Manager 9.1 and later
  • Security for Domino Windows 7.5.3 and later
  • Security for Microsoft Exchange 8.5 and later
  • Security for Microsoft Sharepoint 3.0 and later
  • SiteAdvisor Enterprise 3.5 Patch 5 and later
  • System Information Reporter (SIR) 1.0.1 and later
  • Threat Intelligence Exchange (TIE) Client for VSE 1.0.2 and later
  • VirusScan Enterprise (VSE) 8.8 Patch 2 and later
  • VirusScan Enterprise for Storage (VSES) 1.2 and later

Meer info over deze bedrijfs- en ondernemingsproducten van McAfee kan je vinden op hun Knowledge Center: Meltdown and Spectre – McAfee Product Compatibility Update

Fortinet

Fortinet heeft een IPS signature aangemaakt voor de Fortigate die beschermt tegen zowel Spectre als Meltdown, standaard heeft deze IPS signature als actie Pass,
deze dien je zelf nog in uw IPS profiel aan te passen.

CPU.Speculative.Execution.Timing.Information.Disclosure

Fortinet oplossingen zijn ontworpen om geen arbitraire code uit te voeren in de user-space, en onderzoekt momenteel nog verder welke producten er eventueel vatbaar is voor deze kwetsbaarheden. (PSIRT advisory)

Klanten waarvan hun firewall in ons beheer zijn, zijn reeds voorzien van deze aanpassing op hun omgeving als onderdeel van de service overeenkomst.