-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheden gemitigeerd in Intel CPU`s Advisory ID : NCSC-2019-0380 Versie : 1.00 Kans : high CVE ID : CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: http://cve.mitre.org/cve/) Schade : high Omzeilen van beveiligingsmaatregel Toegang tot gevoelige gegevens Toegang tot systeemgegevens Uitgiftedatum : 20190514 Toepassing : Intel Celeron, Core, Xeon en andere Intel x86 procesoren Lenovo x86 systemen Dell x86 systemen HP x86 systemen Versie(s) : Platform(s) : Microsoft Windows Linux MacOS X FreeBSD OpenBSD NetBSD Beschrijving Intel heeft diverse kwetsbaarheden in haar processoren gemitigeerd. Dit zijn nieuwe kwetsbaarheden waarbij door een side-channel informatie lekt over speculatief uitgevoerde instructies, net zoals in de Spectre en Meltdown kwetsbaarheden. Door een van deze kwetsbaarheden te misbruiken kan een kwaadwillende wiens software op de CPU draait informatie leren over andere software op dezelfde CPU. Dit kan bijvoorbeeld software met gebruikersrechten zijn die informatie afvangt over processen met administratieve rechten of uit de kernel van het besturingssysteem. Een kwaadaardige website kan met JavaScript hetzelfde bewerkstelligen. Vanuit een proces zonder speciale privileges op een virtueel systeem kunnen gegevens verzameld worden uit het geheugen van het host-systeem of andere virtuele systemen op dezelfde CPU. Mogelijke oplossingen Mitigatie bestaat uit meerdere stappen: 1. Het installeren van nieuwe CPU microcode. Deze microcode kan telkens tijden het starten van het systeem geladen worden door een nieuwe BIOS/UEFI, of in sommige gevallen door het activeren van een update van het besturingssysteem. 2. Het installeren van een besturingssysteem beveiligingsupdate die deze nieuwe microcode gebruikt. Zonder nieuwe microcode hebben deze updates geen effect. 3. Voor gevirtualiseerde omgevingen kan het mogelijk nodig zijn om een update te installeren van de host-omgeving. 4. Browserleveranciers hebben voor eerdere kwetsbaarheden mitigerende updates uitgebracht. Deze hebben ook een mitigerend effect op deze recente kwetsbaarheden. Zorg er dus voor dat u recente browsers draait. Het is niet bekend wat de performance impact van deze mitigatie is. Of er een merkbare performance impact is is erg afhankelijk van het soort taak dat een systeem heeft. Het is dus aan te raden voor de uitrol van deze mitigatie niet alleen te testen op het correct functioneren van systemen, maar ook op de performance bij de specifieke taak van een systeem. Het is denkbaar dat bij specifieke toepassingen de risicoafweging gemaakt kan worden dat de kans dat er malafide op een CPU zal draaien gering is en dat dit de performance impact niet rechtvaardigt. Denk hierbij wel aan defense in dept scenarios waarbij malware helaas soms toch op plekken komt waarvan werd aangenomen dat deze veilig zouden blijven. -= Intel =- Intel heeft informatie over de betreffende kwetsbaarheden beschikbaar gemaakt op: https://www.intel.com/content/www/us/en/architecture-and-technology /mds.html https://www.intel.com/content/www/us/en/security-center/advisory /intel-sa-00233.html https://www.intel.com/content/dam/www/public/us/en/documents /corporate-information /SA00233-microcode-update-guidance_05132019.pdf -= Microsoft Windows =- Microsoft heeft Windows updates uitgebracht die, mits er microcode updates geinstalleerd zijn de kwetsbaarheden helpen mitigeren. Gebruikers van Windows 10 kunnen een losse update gebruiken om bij het opstarten de nieuwste CPU microcode te laden. Andere windows gebruikers zullen een BIOS update van hun hardware leverancier nodig hebben. https://portal.msrc.microsoft.com/en-US/security-guidance/advisory /ADV190013 -= Linux =- Linux gebruikers kunnen de utility iucode-tool gebruiken. Hiervoor moet iucode-tool geïnstalleerd worden en de laatste microcode van de site van Intel gedownload. Uw distributie heeft vermoedelijk de mogelijkheid om de update altijd automatisch uit te voeren vanuit de initial ramdisk tijdens het opstarten. https://gitlab.com/iucode-tool/iucode-tool/wikis/home https://downloadcenter.intel.com/download/28087 /Linux-Processor-Microcode-Data-File -= Xen =- Het Xen project heeft een advisory uitgebracht, meer informatie is te vinden op: http://xenbits.xen.org/xsa/advisory-297.html -= Lenovo =- Lenovo heeft voor diverse systemen BIOS updates met nieuwe microcode beschikbaar gemaakt. In de changelog voor uw BIOS update kunt u terugvinden of CVE-2018-12126, CVE-2018-12127 en CVE-2018-12130 worden gemitigeerd. Informatie over het installeren van bios updates op Lenovo systemen kunt u alvast naslaan op: https://support.lenovo.com/nl/nl/solutions/HT500008 -= Red Hat =- Red Hat heeft updates beschikbaar gesteld voor Red Hat Enterprise Linux. U kunt deze updates installeren met behulp van het commando 'yum'. Meer informatie over deze updates en over een eventueel handmatige installatie vindt u op: https://access.redhat.com/security/vulnerabilities/mds https://www.redhat.com/en/blog /understanding-mds-vulnerability-what-it-why-it-works-and-how-mit igate-it?sc_cid=701f2000000tyBjAAI -= SUSE =- SUSE heeft updates beschikbaar gesteld om de kwetsbaarheid te verhelpen. U kunt deze aangepaste packages installeren door gebruik te maken van 'YaST'. U kunt de packages ook handmatig downloaden van de SUSE FTP-server (ftp.suse.com). Voor meer informatie, zie: https://www.suse.com/c /suse-addresses-microarchitectural-data-sampling-vulnerabilities/ Hyperlinks https://mdsattacks.com/ https://zombieloadattack.com/ https://www.nrc.nl/nieuws/2019/05/14 /vu-ontdekt-megalek-in-intel-chips-a3960207 Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- Version: Encryption Desktop 10.4.2 (Build 502) Charset: utf-8 wsDVAwUBXNsCAX+MTEyIH2VcAQrQbgv9FFQ3W2GdpgYlNPBTzfJ4tn9vpwejjh72 5KR8kyWNcVpKZ3cdMmIpzytVwAQozDlfTgdc8uoon7g+T36DUCgRFQeqw1yiDs8M C7kv/v6bJJHbY43kOv3GxJZOEDANZ/5hBAEjuKgCanVn/AlB8tqwjb/4IybP/8Z3 jkvCvq5XXSeXCg6Zeg+dKVY1qZ0F1a0I/3mLna5LMK3zR5Ic8IoN3cku05P1N5K7 UgPuiLedxNEirxIMQ47c4nT1DLAIofXtfnsAibsxFo9IE/PvtYswaLQzv99hUh/I KTvUxAHEbOKCGz0IfEGIzcqTEQVlBqEzOaZgW9lW6RQJHVSQN2cLQ0+sY7eDGeli YR68DEJc+AVQrFMZxWREHBO6FyuM3JRDMt4BB85GistQEp/UJV02Rzm0fdffuVnj oTmhNpZe7yNVae7PC+rjKF12SBp1p++MEj3zx+CI/86dntDZinfUgzHo15s6TK1F V0qL5xppGPqxWK9a16z4NSN8tOfGmXCo =FQlZ -----END PGP SIGNATURE-----