Nieuws
Terug naar overzicht

Belangrijke security update: Meltdown & Spectre

4 januari 2018

Zoals u wellicht al op het nieuws heeft gezien zijn er kwetsbaarheden ontdekt in diverse processoren van onder andere Intel, ARM en AMD. De kwetsbaarheden zijn genaamd Meltdown en Spectre (CVE-2017-5753, CVE-2017-5715, CVE-2017-5754).

Deze kwetsbaarheden zorgen ervoor dat kwaadaardige codes gebruikt kan worden om via de processor informatie uit het geheugen of andere programma’s te stelen. Dit betekent ook dat wachtwoorden en encryptiesleutels kunnen worden ingezien omdat deze data onversleuteld in het geheugen staat. Omdat deze kwetsbaarheid niet op de besturingssysteem laag zit, maar op de hardware laag is zo goed als iedere computer hier kwetsbaar voor.

Wat betekent dit voor uw organisatie?

Waarschijnlijk maakt u voor een groot gedeelte gebruik van kwetsbare processoren, veel vendoren zijn daarom op dit moment bezig met het maken van patches. Het is belangrijk dat deze patches zo snel mogelijk worden geïnstalleerd op de kwetsbare systemen. Sommige vendoren hebben al een patch uitgebracht en ook voor diverse anti-malware producten zijn al updates beschikbaar.

Er is nog relatief weinig informatie bekend, zodra er meer bekend is over de te nemen maatregelen informeren wij u telefonisch of via e-mail. Hou tevens onze website in de gaten. Voor verdere informatie, verwijzen wij graag naar de website van het NCSC.

Update 8 januari 2018

Microsoft heeft haar beleid ten aanzien van het uitrollen van security updates veranderd i.v.m. een compatibiliteit issue met een aantal anti-virus vendoren. Indien een vendor niet compatible is ontvangt een systeem geen security updates. Bron. Dus ook niet de beschikbare patches voor Meltdown en Spectre. Om deze toch uit te rollen kan een registry entry aangepast worden. Bron.

Insign.it werkt onder andere met de volgende producten:

  • ESET: compatible, registry key wordt door ESET gezet.
  • Traps: compatible, registry key handmatig zetten.
  • Trend Micro: compatible, registry key handmatig zetten.

Voor Windows Server 2008 en Server 2012 zijn geen patches beschikbaar. Deze zijn nog in ontwikkeling.

Onderzoek laat zien dat Palo Alto Networks firewalls niet kwetsbaar zijn. Alle OS/Panorama platforms zijn niet direct getroffen door deze kwetsbaarheid.

Update 9 januari 2018

Naast software updates is voor CVE-2017-5715 een firmware update noodzakelijk die sommige vendoren wel al beschikbaar hebben en sommige nog niet. Belangrijk om te weten is dat systemen waarop code uitgevoerd kan worden zoals een werkstation of server een veel hoger risico lopen dan bijvoorbeeld een firewall. De mogelijkheid om code uit voeren op bijvoorbeeld een firewall is veelal beperkt tot een CLI of shell. Deze zijn in de meeste gevallen beter afgeschermd dan de toegang tot werkstations waarop web browsers en andere interactieve software draait.

Palo Alto Networks heeft Threat ID 31127 toegevoegd om een Meltdown en of Spectre aanval te herkennen. Klanten die deze firewall aan ons Security Operations Center gekoppeld hebben, ontvangen een melding zodra deze gedetecteerd worden door de firewall.

Update 17 januari 2018

Sinds de bekendmaking van de gevonden kwetsbaarheden in Meltdown en Spectre is er al veel gebeurd. Net als Insign.it zijn veel leveranciers en IT-afdelingen bezig met updates, patches en andere mitigerende maatregelen. 

De impact van het misbruiken van de kwetsbaarheden kan groot zijn. Maar de impact van de patches hiervoor ook, weten we inmiddels. Hieronder een kort overzicht van de obstakels tot nu toe.

  • Performance impact, van weinig tot ernstig.
  • Spontane reboots na installatie van patches. Net name bij firmware-updates voor Broadwell en Haswell CPU's. 
  • Compatibiliteitsproblemen op Microsoft Windows systemen met bepaalde antivirusproducten. 
  • VMware trok zijn ESXi-patches terug na meldingen van problemen.
  • Ondertussen verschijnen rapporten over de impact van de patches op SolarWinds en verschillende fabrikanten van industriële apparatuur.
  • Ernstiger zijn de problemen op PC’s met AMD Athlon CPU's na het installeren van een Windows-patch en bij gebruikers van Ubuntu-systemen.
  • Public Cloud providers zijn al enkele maanden onder non-disclosure op de hoogte van de patch en gedurende die tijd bezig geweest met het zoeken naar een oplossing. De zorg is terecht. De kwetsbaarheden maken het voor een aanvaller mogelijk om gevirtualiseerde partities te omzeilen, waardoor het mogelijk wordt om gegevens van alle virtuele machines op een enkele server te stelen. En hoe zit het met de performance in de Public Cloud? 

Google is dan ook bezig om met andere technieken zoals Google Retpoline de problematiek aan te pakken. 

  • Ook zijn er meldingen van cybercriminelen die gebruikers verleiden om valse Spectre- en Meltdown-patches te installeren, die in werkelijkheid malware zijn. 

Omdat er meerdere aanvalsvectoren zijn om de kwetsbaarheden uit te buiten, zijn er meerdere patches nodig. Denk aan web browsers, operating systems, applicaties en processor firmware. 

Insign.it heeft daarom een XLS-bestand geplaatst waarin wij een up-to-date lijst bijhouden met beschikbare updates en patches voor een breed scala aan vendoren.

Omdat de patches complex zijn en al diverse compatibiliteitsproblemen hebben veroorzaakt is de uitrol van deze patches een precisiewerk waarbij veel getest moet worden. Ons advies is om niet alles in 1x te patchen, maar stuk voor stuk bekijken wat de impact is van de verschillende patches. 

Update 29 januari 2018

Microsoft heeft een out-of-band update uitgebracht vanwege stabiliteitsproblemen met Intel micro code updates voor Spectre variant 2: CVE 2017-5715.

Volgens Microsoft kan er datacorruptie optreden en hebben ze daarom besloten deze noodpatch uit te brengen die de mitigerende maatregelen voor Spectre variant 2 uitschakelt.

Intel heeft op 22 januari jl. een statement uitgeven waarin ze klanten adviseren voorlopig geen microcode updates uit te voeren totdat er een stabiele oplossing is bedacht.