Meltdown en Spectre: wat doe je ertegen?

Ze zijn de laatste dagen veel in het nieuws: ‘chip-lekken’ Meltdown en Spectre. Maar wat zijn ze, wat doen ze en wat kun je ertegen doen? Onze Security Engineer Ernst Vogel geeft antwoord.

Meestal worden beveiligingsissues gevonden in software, en niet op de chip waar deze software op draait. Dat is nu wél het geval, en dat maakt het verhaal een stuk lastiger. We vertellen hier wat je op korte termijn kunt doen, maar de enige echte oplossing is om de chip te vervangen.

Wat is Meltdown?

Meltdown is een kwetsbaarheid die de isolatie tussen een programma en het systeemgeheugen afbreekt en een programma toegang geeft tot het systeemgeheugen waar wachtwoorden en andere gevoelige data te vinden zijn. Normaal gesproken is dit niet toegankelijk. Meltdown is alleen van toepassing op chips van Intel. Tegelijkertijd geldt het wel voor alle besturingssystemen (Windows, OSX, Linux) en cloudomgevingen. De patch (de ‘reparatie’ voor het probleem) kan ervoor zorgen dat de chip en dus de computer 5% tot 30% trager wordt. Voor databaseservers en hypervisors kan dit dus een probleem zijn.

De patches voor Meltdown

De meeste besturingssystemen hebben al een patch uitgebracht:

• Windows 10 - Voor alle desktopsystemen is al een patch uitgebracht op 3 januari. Voor Windows 7 en 8 volgt de patch op dinsdag 9 januari. Hierbij moet nog gezegd worden dat virusscanners de patch onbedoeld als kwaadaardig kunnen aanmerken. Belangrijk is dus dat de virusscanner de nieuwste versie heeft of tijdens het installeren van de patch gedeactiveerd wordt.
• Windows server 201x - Voor Windows Server 2016 is al een update Voor oudere systemen zal de patch ook op 9 januari worden uitgebracht. Ons advies is om het standaard patching-tijdstip te vervroegen en de patch zo snel mogelijk te installeren.
• OS X - Apple heeft aangeven kwetsbaar te zijn voor Meltdown maar zegt dat er nog geen misbruik van gemaakt kan worden. Ze hebben wel mitigatiemaatregelen toegepast in iOS 11.2 en macOS 10.13.2.
• Android - Google heeft aangegeven dat de patch is meegenomen in de januari-update van het OS. Dit geldt alleen voor Nexus- of Pixel-devices. Andere telefoonmerken zijn voor updates afhankelijk van de makers.
• Linux – Ook voor Linux is al een patch beschikbaar.
• Azure – Microsoft is al een actie begonnen om alle systemen in de Azure-cloud te patchen. Dit wordt gedaan zonder tussenkomst van de klant.

Wat is Spectre?

Spectre zorgt ervoor dat de barrière tussen applicaties verdwijnt. Hierdoor kunnen kwaadaardige applicaties andere applicaties voor de gek houden en informatie uitlezen.

Spectre is een kwetsbaarheid die bestaat bij alle typen CPU’s (ARM, Intel, AMD) en kan geëxploiteerd worden op alle besturingssystemen (Windows, Mac, Linux). Dit betekent dat ook telefoons en tablets getroffen kunnen worden.

Voor Spectre zijn twee soorten aanvallen bekend gemaakt. Deze aanvallen zijn nooit te volledig te voorkomen, maar de beschikbare patches kunnen het wel een stuk moeilijker maken.

De patches voor Spectre

Voor Spectre kunnen de bovengenoemde patches gebruikt worden om te patchen.

Daarnaast is het belangrijk om browsers te updaten naar de volgende versies:

• Firefox 57.0.4 - Al beschikbaar
• Chrome 64 - beschikbaar op 23-01-2018

Er zijn ook patches uitgebracht voor het virtualisatieplatform van VMware, dat overigens niet kwetsbaar is voor Meltdown:

• ESXi 5.5 - patch: ESXi550-201709101-SG - patched maar 1 van de twee aanvals opties van spector
• ESXi 6.0 - patch: ESXi600-201711101-SG
• ESXi 6.5 - patch: ESXi650-201712101-SG

Voor Citrix is nog geen patch uitgebracht. De partij geeft aan dat ze mogelijk een derde partij inschakelen.

In het kort

Nogmaals: de enige manier om de kwetsbaarheden echt op te lossen is door de hardware te vervangen. Maar bovenstaande maatregelen zorgen ervoor dat het voor hackers een stuk lastiger wordt om de problemen te exploiteren. Blijf je systemen dus updaten en – vanzelfsprekend – klik niet op vreemde links.

Vragen? Neem contact op met onze security-experts.