Alvorlig sårbarhet i prosessorarkitektur

Publisert: 04.01.2018

En angriper skal kunne utnytte sårbarhetene til å lese minne som egentlig ikke skal være tilgjengelig.

Vi ønsker å informere om sårbarheter i prosessorarkitektur oppdaget av blant annet Google Project Zero. Sårbarhetene skyldes såkalt "spekulativ eksekvering", som er en optimaliseringsteknikk benyttet av de fleste moderne prosessorer [1].

Det har vært mange spekulasjoner om sårbarhetene de siste dagene, noe som førte til at offentliggjøringen ble fremskutt fra 9. til 3. januar [1].

En angriper skal kunne utnytte sårbarhetene til å lese minne som egentlig ikke skal være tilgjengelig. For eksempel kan sensitiv informasjon som passord, krypteringsnøkler og innhold i andre programmer avleses. Google sin testing har for eksempel vist at en virtuell maskin kunne lese av minnet til en annen virtuell maskin [1].

Totalt dreier det seg om 3 forskjellige sårbarheter:

  • CVE-2017-5754
  • CVE-2017-5753
  • CVE-2017-5715

Disse sårbarhetene utnyttes av 2 forskjellige angrep:

  • Meltdown (utnytter CVE-2017-5754)
  • Spectre (utnytter CVE-2017-5753 og CVE-2017-5715)

Funnene som er gjort tyder på at nesten alle Intel x86 prosessorer potensielt kan utnyttes av Meltdown angrepet. De fleste systemer, laptop, desktop, mobil, server, skal være sårbare for Specter. Basert på infrastrukturen til leverandører av skytjenester, kan det også være mulig å lese av minnet til andre kunder [2].

I utgangspunktet anbefaler vi alltid å oppdatere systemer som i sårbare. I dette tilfellet ønsker vi å samle mer informasjon om konsekvenser av sikkerhetsoppdatering, da det er spekulasjoner i at systemene vil kunne få langt dårligere ytelse ved en oppdatering. Virksomhetene må selv ta en vurdering på om de ønsker å vente på oppdatert informasjon fra oss eller om de ønsker å oppdatere sine systemer på bakgrunn av informasjon i åpne kilder.
Systemer som muliggjør kjøring av ukjent kode bør prioriteres. Det vil si delte servere, maskiner som brukes til å laste nettsider med javascript, osv.

Denne sårbarheten ble sluppet med omfattende teknisk dokumentasjon. Ta forbehold om at dette er et initielt varsel og at alle detaljer enda ikke er gjennomgått av NorCERT.
Mer informasjon om sårbarhetene og konsekvenser vil komme i løpet av dagen.

Kilder:

  1. https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html
  2. https://meltdownattack.com/