Informatiebeveiligingsexperts hebben een nieuwe kwetsbaarheid ontdekt in Intel-chips die gebruikt kan worden om gevoelige informatie rechtstreeks van de processor te stelen. De onderzoekers noemden het "ZombieLoad". ZombieLoad is een side-by-side aanval gericht op Intel-chips waarmee hackers effectief een fout in hun architectuur kunnen misbruiken om willekeurige gegevens te verkrijgen, maar het hen niet toestaat willekeurige kwaadaardige code te injecteren en uit te voeren, waardoor deze als het enige hulpmiddel wordt gebruikt inbraak en hacking op externe computers is niet mogelijk.
Volgens Intel bestaat ZombieLoad uit vier bugs in de microcode van zijn chips, die onderzoekers een maand geleden aan het bedrijf rapporteerden. Vrijwel alle computers met Intel-chips die sinds 2011 zijn uitgebracht, zijn kwetsbaar voor de kwetsbaarheid. ARM- en AMD-chips worden niet getroffen door dit beveiligingslek.
ZombieLoad doet denken aan Meltdown en Spectre, die in het verleden sensationeel waren en misbruik maakten van een bug in het speculatieve (geavanceerde) commando-uitvoeringssysteem. Speculatieve uitvoering helpt processors tot op zekere hoogte te voorspellen wat een applicatie of besturingssysteem in de nabije toekomst nodig kan hebben, waardoor de applicatie sneller en efficiënter draait. De processor retourneert de resultaten van zijn voorspellingen als deze correct zijn, of reset de uitvoeringsresultaten als de voorspelling onjuist is. Zowel Meltdown als Spectre maken gebruik van de mogelijkheid om deze functie te misbruiken om directe toegang te krijgen tot de informatie waarmee de processor werkt.
ZombieLoad vertaalt zich als ‘zombie laden’, wat gedeeltelijk het mechanisme van de kwetsbaarheid verklaart. Tijdens de aanval krijgt de processor meer data binnen dan hij goed kan verwerken, waardoor de processor hulp vraagt aan de microcode om een crash te voorkomen. Normaal gesproken kunnen applicaties alleen hun eigen gegevens zien, maar door een bug veroorzaakt door CPU-overbelasting kunt u deze beperking omzeilen. De onderzoekers verklaarden dat ZombieLoad alle gegevens kan verkrijgen die door de processorkernen worden gebruikt. Intel zegt dat de microcode-oplossing zal helpen bij het wissen van processorbuffers bij overbelasting, waardoor wordt voorkomen dat applicaties gegevens lezen die niet bedoeld waren om te lezen.
In een videodemonstratie van de werking van de kwetsbaarheid lieten de onderzoekers zien dat je hiermee in realtime kunt achterhalen welke websites iemand bezoekt, maar net zo goed kan worden gebruikt om bijvoorbeeld gebruikte wachtwoorden of toegangstokens te bemachtigen. door gebruikers voor betalingstransactiesystemen
Net als Meltdown en Spectre heeft ZombieLoad niet alleen invloed op pc's en laptops, maar ook op cloudservers. Het beveiligingslek kan worden misbruikt op virtuele machines die moeten worden geïsoleerd van andere virtuele systemen en hun hostapparaten om deze isolatie mogelijk te omzeilen. Zo beweert Daniel Gruss, een van de onderzoekers die de kwetsbaarheid heeft ontdekt, dat het gegevens van serverprocessors op dezelfde manier kan lezen als op personal computers. Dit is een potentieel ernstig probleem in cloudomgevingen waar de virtuele machines van verschillende klanten op dezelfde serverhardware draaien. Hoewel aanvallen met ZombieLoad nooit publiekelijk zijn gerapporteerd, kunnen onderzoekers niet uitsluiten dat ze hebben plaatsgevonden, aangezien gegevensdiefstal niet altijd sporen nalaat.
Wat betekent dit voor de gemiddelde gebruiker? Er is geen reden tot paniek. Dit is verre van een exploit of een zero-day-kwetsbaarheid waarbij een aanvaller uw computer in een oogwenk kan overnemen. Gruss legt uit dat ZombieLoad "gemakkelijker is dan Spectre" maar "moeilijker dan Meltdown" - die beide een bepaalde vaardigheden en inspanning vereisen om aanvallend te gebruiken. Om een aanval uit te voeren met ZombieLoad, moet u op de een of andere manier de geïnfecteerde applicatie downloaden en deze zelf uitvoeren. Vervolgens zal de kwetsbaarheid de aanvaller helpen al uw gegevens te downloaden. Er zijn echter veel eenvoudigere manieren om een computer te hacken en deze te stelen.
Intel heeft al microcode vrijgegeven om getroffen processors te patchen, waaronder Intel Xeon-, Intel Broadwell-, Sandy Bridge-, Skylake- en Haswell-chips, Intel Kaby Lake-, Coffee Lake-, Whiskey Lake- en Cascade Lake-chips, evenals alle Atom- en Knights-processors. Andere grote bedrijven hebben van hun kant ook een oplossing voor de kwetsbaarheid uitgebracht. Apple, Microsoft en Google hebben ook al overeenkomstige patches voor hun browser uitgebracht.
In een interview met TechCrunch zei Intel dat updates van de chipmicrocode, net als eerdere patches, de processorprestaties zullen beïnvloeden. Een woordvoerder van Intel zei dat de meeste gepatchte consumentenapparaten in het ergste geval een prestatieverlies van 3% zouden kunnen lijden, met een verlies tot 9% voor datacenters. Maar volgens Intel is het onwaarschijnlijk dat dit in de meeste scenario's merkbaar zal zijn.
De ingenieurs van Apple zijn het echter volledig oneens met Intel, die dat wel doet over de methode van volledige bescherming tegen “Microarchitectural Data Sampling” (officiële naam ZombieLoad) beweren ze dat om de kwetsbaarheid volledig te dichten het noodzakelijk is om Intel Hyper-Threading-technologie in processors volledig uit te schakelen, wat volgens tests door Apple-specialisten de de prestaties van gebruikersapparaten bij een aantal taken met 40%.
Noch Intel, noch Daniel en zijn team hebben de code gepubliceerd die de kwetsbaarheid implementeert, dus er is geen directe en onmiddellijke bedreiging voor de gemiddelde gebruiker. En prompt uitgebrachte patches elimineren het volledig, maar gezien het feit dat elke dergelijke oplossing gebruikers bepaalde prestatieverliezen kost, rijzen er enkele vragen voor Intel.
Bron: 3dnews.ru