Oproep VU: zet hyperthreading in Intel-processor uit

Onderzoekers: Chipfabrikant laks met dichten groot lek in chips

Dit artikel delen:
security

De chips van Intel blijven kwetsbaar door onvolledige en gebrekkige aanpassingen door de Amerikaanse chipfabrikant. Dat stelt VUsec, de systeem- en netwerkbeveiligingsgroep van de Vrije Universiteit Amsterdam. De onderzoekers maakten de ontdekking van een lek in chips van Intel afgelopen mei bekend en raden nu aan om hyperthreading in Intel-processoren uit te zetten.

In een persbericht van de VU Amsterdam wordt verwezen naar een artikel in The New York Times waarin de onderzoekers uiteenzetten waarom Intel het lek nog altijd niet heeft gedicht. 'Door een gebrek aan gevoel voor urgentie en de wil om alle problemen op te lossen bij Intel voelen wij ons genoodzaakt om onze volledige analyse van de kwetsbaarheden in Intel-chips openbaar te maken', aldus Herbert Bos, hoogleraar systeem- en netwerkbeveiliging van VUsec en zijn co-groepsleiders Cristiano Giuffrida en Kaveh Razavi. Samen met promovendi Stephan van Schaik, Alyssa Milburn, Sebastian Österlund en Pietro Frigo en collega Jonas Theis analyseerden zij de kwetsbaarheden.

Volledige openheid

Intel gaf een dag voor de publicatie in mei aan meer tijd nodig te hebben om alle kwetsbaarheden die waren gevonden door VUSec en gerapporteerd aan de chipfabrikant te repareren. Op verzoek van Intel zijn uit de eerdere publicatie van VUSec op het laatste moment enkele belangrijke onderdelen weggelaten die aantonen dat het probleem bij Intel veel groter was dan de fabrikant deed voorkomen. Een moeilijke beslissing, maar om de veiligheid van gebruikers te garanderen, gaf VUSec alleen inzicht in kwetsbaarheden die inmiddels waren gerepareerd door Intel.

Om de overige problemen op te kunnen lossen in de chips is door Intel destijds een nieuw embargo ingesteld: 12 november. 'Intel blijkt nu, na meerdere analyses door VUSec, de overige kwetsbaarheden niet te hebben opgelost en de computerveiligheid van hun gebruikers niet serieus genoeg te nemen. Daarmee ligt gevoelige informatie nog steeds voor het oprapen', aldus Bos.

Kwetsbaarheid

De kwetsbaarheid stelt een aanvaller in staat om op triviale wijze ‘mee te luisteren’ naar wat de Intel-processor doet met data van andere gebruikers: in andere programma’s, in andere virtuele machines, in het besturingssysteem, en zelfs in de zwaarbeveiligde security-enclaves die Intel sinds enkele jaren ondersteunt. Het enige dat een aanvaller nodig heeft, is een programma dat draait op de machine van het slachtoffer. In een cloud-omgeving is dat triviaal, maar ook op een gewone pc draaien voortdurend programma’s van onbekende origine, bijvoorbeeld wanneer bij het bezoek aan websites die Javascript bevatten.

De versies van de kwetsbaarheden die waren weggelaten uit het oorspronkelijke artikel behoorden tot de krachtigste wapens in handen van aanvallers. Zo konden de VU-onderzoekers de hash van het wachtwoord van de administrator lekken in slechts dertig seconden.

Hyperthreading uitzetten

" Dit lost niet alle problemen op, maar neemt wel de grootste gevaren weg"

Het probleem wordt door de VU-onderzoekers RIDL (Rogue In-Flight Data Load) genoemd en door Intel MDS (Microarchitectural Data Sampling). Intel heeft na de eerdere publicatie van de kwetsbaarheden in mei aangegeven dat de gepubliceerde problemen updates vergen in de microcode van de processor én in de software (waaronder het besturingssysteem).

Hierover zijn destijds in samenwerking met Microsoft en Apple een reeks maatregelen ontwikkeld. Deze zouden gebruikers bescherming moeten bieden tegen aanvallers die hiervan misbruik maken. Het VUSec-team vindt deze maatregelen niet ver genoeg gaan en raadt aan om hyperthreading in Intel- processoren uit te zetten. Dat is de techniek die ervoor zorgt dat de fysieke processorkern twee geprogrammeerde instructies tegelijk uitvoert. Dit lost niet alle problemen op, maar neemt wel de grootste gevaren weg, aldus de VU-vorsers.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2019-11-13T11:55:00.000Z Rik Sanders
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.