-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
Titel : Kwetsbaarheden gemitigeerd in Intel CPU`s
Advisory ID : NCSC-2019-0380
Versie : 1.00
Kans : high
CVE ID : CVE-2018-12126, CVE-2018-12127, CVE-2018-12130,
CVE-2019-11091
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: http://cve.mitre.org/cve/)
Schade : high
Omzeilen van beveiligingsmaatregel
Toegang tot gevoelige gegevens
Toegang tot systeemgegevens
Uitgiftedatum : 20190514
Toepassing : Intel Celeron, Core, Xeon en andere Intel x86
procesoren
Lenovo x86 systemen
Dell x86 systemen
HP x86 systemen
Versie(s) :
Platform(s) : Microsoft Windows
Linux
MacOS X
FreeBSD
OpenBSD
NetBSD
Beschrijving
Intel heeft diverse kwetsbaarheden in haar processoren gemitigeerd.
Dit zijn nieuwe kwetsbaarheden waarbij door een side-channel
informatie lekt over speculatief uitgevoerde instructies, net zoals
in de Spectre en Meltdown kwetsbaarheden.
Door een van deze kwetsbaarheden te misbruiken kan een kwaadwillende
wiens software op de CPU draait informatie leren over andere
software op dezelfde CPU. Dit kan bijvoorbeeld software met
gebruikersrechten zijn die informatie afvangt over processen met
administratieve rechten of uit de kernel van het besturingssysteem.
Een kwaadaardige website kan met JavaScript hetzelfde
bewerkstelligen. Vanuit een proces zonder speciale privileges op een
virtueel systeem kunnen gegevens verzameld worden uit het geheugen
van het host-systeem of andere virtuele systemen op dezelfde CPU.
Mogelijke oplossingen
Mitigatie bestaat uit meerdere stappen:
1. Het installeren van nieuwe CPU microcode. Deze microcode kan
telkens tijden het starten van het systeem geladen worden door een
nieuwe BIOS/UEFI, of in sommige gevallen door het activeren van een
update van het besturingssysteem.
2. Het installeren van een besturingssysteem beveiligingsupdate die
deze nieuwe microcode gebruikt. Zonder nieuwe microcode hebben deze
updates geen effect.
3. Voor gevirtualiseerde omgevingen kan het mogelijk nodig zijn om
een update te installeren van de host-omgeving.
4. Browserleveranciers hebben voor eerdere kwetsbaarheden
mitigerende updates uitgebracht. Deze hebben ook een mitigerend
effect op deze recente kwetsbaarheden. Zorg er dus voor dat u
recente browsers draait.
Het is niet bekend wat de performance impact van deze mitigatie is.
Of er een merkbare performance impact is is erg afhankelijk van het
soort taak dat een systeem heeft. Het is dus aan te raden voor de
uitrol van deze mitigatie niet alleen te testen op het correct
functioneren van systemen, maar ook op de performance bij de
specifieke taak van een systeem.
Het is denkbaar dat bij specifieke toepassingen de risicoafweging
gemaakt kan worden dat de kans dat er malafide op een CPU zal
draaien gering is en dat dit de performance impact niet
rechtvaardigt. Denk hierbij wel aan defense in dept scenarios
waarbij malware helaas soms toch op plekken komt waarvan werd
aangenomen dat deze veilig zouden blijven.
-= Intel =-
Intel heeft informatie over de betreffende kwetsbaarheden
beschikbaar gemaakt op:
https://www.intel.com/content/www/us/en/architecture-and-technology
/mds.html
https://www.intel.com/content/www/us/en/security-center/advisory
/intel-sa-00233.html
https://www.intel.com/content/dam/www/public/us/en/documents
/corporate-information
/SA00233-microcode-update-guidance_05132019.pdf
-= Microsoft Windows =-
Microsoft heeft Windows updates uitgebracht die, mits er microcode
updates geinstalleerd zijn de kwetsbaarheden helpen mitigeren.
Gebruikers van Windows 10 kunnen een losse update gebruiken om bij
het opstarten de nieuwste CPU microcode te laden. Andere windows
gebruikers zullen een BIOS update van hun hardware leverancier nodig
hebben.
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory
/ADV190013
-= Linux =-
Linux gebruikers kunnen de utility iucode-tool gebruiken. Hiervoor
moet iucode-tool geïnstalleerd worden en de laatste microcode van de
site van Intel gedownload. Uw distributie heeft vermoedelijk de
mogelijkheid om de update altijd automatisch uit te voeren vanuit de
initial ramdisk tijdens het opstarten.
https://gitlab.com/iucode-tool/iucode-tool/wikis/home
https://downloadcenter.intel.com/download/28087
/Linux-Processor-Microcode-Data-File
-= Xen =-
Het Xen project heeft een advisory uitgebracht, meer informatie is
te vinden op:
http://xenbits.xen.org/xsa/advisory-297.html
-= Lenovo =-
Lenovo heeft voor diverse systemen BIOS updates met nieuwe microcode
beschikbaar gemaakt. In de changelog voor uw BIOS update kunt u
terugvinden of CVE-2018-12126, CVE-2018-12127 en CVE-2018-12130
worden gemitigeerd. Informatie over het installeren van bios updates
op Lenovo systemen kunt u alvast naslaan op:
https://support.lenovo.com/nl/nl/solutions/HT500008
-= Red Hat =-
Red Hat heeft updates beschikbaar gesteld voor Red Hat Enterprise
Linux. U kunt deze updates installeren met behulp van het commando
'yum'. Meer informatie over deze updates en over een eventueel
handmatige installatie vindt u op:
https://access.redhat.com/security/vulnerabilities/mds
https://www.redhat.com/en/blog
/understanding-mds-vulnerability-what-it-why-it-works-and-how-mit
igate-it?sc_cid=701f2000000tyBjAAI
-= SUSE =-
SUSE heeft updates beschikbaar gesteld om de kwetsbaarheid te
verhelpen. U kunt deze aangepaste packages installeren door gebruik
te maken van 'YaST'. U kunt de packages ook handmatig downloaden van
de SUSE FTP-server (ftp.suse.com). Voor meer informatie, zie:
https://www.suse.com/c
/suse-addresses-microarchitectural-data-sampling-vulnerabilities/
Hyperlinks
https://mdsattacks.com/
https://zombieloadattack.com/
https://www.nrc.nl/nieuws/2019/05/14
/vu-ontdekt-megalek-in-intel-chips-a3960207
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 502)
Charset: utf-8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=FQlZ
-----END PGP SIGNATURE-----
