Diverse onderzoeksteams, waaronder Bitdefender, hebben een nieuwe manier ontdekt waarmee Intel-processors in servers en werkstations doelgericht kunnen worden misbruikt om vertrouwelijke gegevens buit te maken. Terwijl een eerste team van researchers de kwetsbaarheid in april 2019 (ook) al aan Intel meldde, ontwikkelde Bitdefender de Proof of Concept (beschikbaar via GitHub) waarmee de kwetsbaarheid kon worden aangetoond.
Het beveiligingslek heet LVI-LFB (Load Value Injection in the Line Fill Buffers) en manipuleert net als de in 2018 en 2019 beschreven ‘side channel attacks’ Meltdown, Spectre en MDS, de performancevergrotende hardwarefuncties van de Intel-processors. In tegenstelling tot deze eerdere kwetsbaarheden stelt LVI-LFB hackers in staat doelgericht op zoek te gaan naar data, zonder een spoor achter te laten.
De gelekte informatie kan van alles bevatten, inclusief encryptiesleutels en wachtwoorden die in het geheugen zijn opgeslagen. In het ergste geval krijgt de hacker een behoorlijke mate van controle over het apparaat (of endpoint) met de aangetaste Intel-processors en alle informatie die erop is opgeslagen.
De methode is vooral gevaarlijk op plaatsen waar meerdere gebruikers toegang hebben tot dezelfde server, zoals in datacenters of op bedrijfswerkstations. Het is mogelijk voor een getroffen server om gegevens over andere gebruikers op de server te lekken wanneer een van de gebruikers de betreffende hardware gebruikt. De methode is effectief op alle moderne Intel-processors in tussen 2012 en 2020 geproduceerde servers, desktops en laptops – inclusief de apparaten die werden gefabriceerd nadat Meltdown, Spectre en MDS waren bekendgemaakt.
Volledige oplossing vereist mogelijk nieuwe hardware
Volgens Bogdan Botezatu, beveiligingsexpert bij Bitdefender, zijn de bestaande oplossingen voor de ‘side channel attacks’ Meltdown, Spectre en MDS niet toereikend voor het nu blootgelegde lek in de Intel-processors: “De enige manier om het lek echt te dichten is het volledig vervangen van de hardware of het uitschakelen van functies als hyper-threading, waarbij een aanzienlijke vermindering van performance voor lief moet worden genomen. “
Directe maatregelen
Botezatu adviseert IT-afdelingen in alle bedrijven die de kwetsbare hardware met Intel-processors gebruiken direct de drie volgende maatregelen te treffen:
- Installeer patches (microcode, besturingssysteem, hypervisor) zodra ze beschikbaar komen.
- Installeer een beveiligingsoplossing op hypervisorniveau die zichtbaarheid biedt.
- Inspecteer kritieke systemen waar mogelijk op tekenen van aanvallen.
Tijdlijn:
Bitdefender rapporteerde de aanval aan Intel op 10 februari 2020, maar was niet de eerste die de aanval rapporteerde, aangezien een onderzoeksteam hetzelfde had gedaan in april 2019. Op 25 februari erkende het bedrijf het probleem met de Intel-processors.