Onderzoekers vinden nieuwe kritieke lekken in vrijwel alle Intel-cpu’s

Onderzoekers van de Vrije Universiteit Amsterdam hebben een nieuw kritiek lek gevonden in Intel-processors. Ook andere universiteiten en beveiligingsbedrijven openbaren dinsdag nieuwe lekken. Intel en softwarebedrijven komen met patches.

De VU-onderzoekers noemen de kwetsbaarheid die ze gevonden hebben, RIDL. Dat staat voor Rogue In-Flight Data Load. Met het lek is alle data die de cpu verwerkt, inzichtelijk voor een aanvaller. Het lek is volgens de onderzoekers te misbruiken via bijvoorbeeld JavaScript op een website. Gebruikers met computers die niet van updates zijn voorzien, zijn daarom kwetsbaar.

Stephan van Schaik, student Informatica, kwam de kwetsbaarheid per toeval tegen tijdens een onderzoek naar een al bekend lek in Intel-processors. De technische details staan beschreven in een paper. Van Schaik ontdekte de kwetsbaarheid in september 2018, zegt hij tegenover NRC. Een Intel-processor uit 2008 bleek het lek ook te bevatten en Intel werd direct gewaarschuwd. Ook Intels Xeon-processors voor servers zijn vatbaar.

Een vergelijkbare kwetsbaarheid werd gevonden door andere onderzoekers, onder andere die van de KU Leuven. Zij noemen hun vondst Fallout. Beide worden door Intel gekenmerkt als Microarchitectural Data Sampling-kwetsbaarheden. De onderzoekers hebben gezamenlijk een MDS Attack-website online gezet met daarop hun bevindingen.

Wetenschappers van de Oostenrijkse Universiteit van Graz publiceren tegelijkertijd informatie over hun nieuwe kwetsbaarheid: ZombieLoad. Ook die treft Intel-processors. De onderzoekers van Graz hebben ook de website cpu.fail in het leven geroepen met daarop een overzicht van alle nieuwe ontdekkingen. Het gaat volgens onderzoekers om hardwarematige bugs die alle Intel-processors van de afgelopen tien jaar treffen.

De nieuwe lekken volgen ruim een jaar na de ontdekking van de Meltdown-kwetsbaarheid, waarmee informatie uit het geheugen onderschept kon worden. De nieuwe kwetsbaarheden hebben net als toen te maken met speculative execution; het voorspellen van berekeningen wat resulteert in prestatiewinst. Dezelfde teams die destijds Meltdown ontdekten, komen nu met de nieuwe kwetsbaarheden naar buiten.

‘Intel probeerde de ernst van het lek te bagatelliseren’De Vrije Universiteit heeft het grootste deel van de lekken ontdekt en krijgt als enige partij een beloning van Intel. De universiteit uit Amsterdam ontvangt 100.000 dollar, dat is het hoogste bedrag dat Intel uitkeert aan ontdekkers van kritieke kwetsbaarheden. Volgens NRC probeerde Intel de ernst van het lek te bagatelliseren door 40.000 dollar als beloning aan te bieden en daarnaast nog eens een bedrag van 80.000 dollar los. De universiteit heeft dat aanbod afgeslagen.

Ook hekelt de VU dat Intel verzuimde om Google en Mozilla in te lichten en bovendien zou Intel lang gewacht hebben met het publiceren van de kwetsbaarheden. Herbert Bos, beveiligingsonderzoeker van de Vrije Universiteit, heeft afgedwongen dat Intel in mei naar buiten zou komen, anders zou de universiteit zelf gaan publiceren. Intel had volgens Bos nog wel een halfjaar willen wachten met publicatie. Of er kwaadwillenden van de lekken gebruik hebben gemaakt, is niet bekend.

De informatie over de nieuwe lekken is naar buiten gebracht op Patch Tuesday; het maandelijkse moment waarop Microsoft belangrijke patches uitbrengt voor Windows. Gebruikers wordt aangeraden om software zoals het besturingssysteem en browsers up-to-date te houden. Microsoft, Google en Applehebben pagina’s met informatie over updates die betrekking hebben op MDS-aanvallen, online gezet.

Intel heeft een eigen website ingericht over MDS-aanvallen en heeft microcode-updates voor zijn processors uitgebracht en claimt daarop dat een select aantal processors van de achtste en negende generatie hardwarematig beschermd zijn. De beveiligingsonderzoekers schrijven echter dat de RIDL- en Fallout-kwetsbaarheid in alle Intel-processors zit, ook de nieuwste met hardware-aanpassingen tegen Meltdown. Sommige processors van de negende generatie zijn volgens de onderzoekers zelfs kwetsbaarder dan oudere cpu’s. AMD- en Arm-processors zijn niet getroffen door de nieuwe lekken.

Testversie Mozilla Fenix-browser is beschikbaar in de Google Play Store

Mozilla heeft een previewversie van zijn Fenix-browser beschikbaar gemaakt in de Google Play Store. De app heet Firefox Preview en is bedoeld voor testdoeleinden. Wie ermee aan de slag wil dient zich eerst te registreren voor het testprogramma.

Fenix is de codenaam van Mozilla’s browser voor Android die op termijn Firefox moet gaan vervangen. Tot nu toe konden geïnteresseerden de app niet uit de Google Play Store downloaden, maar met de nieuwste previewversie van de browser, Firefox Preview genoemd, kan dat nu wel.

Firefox Preview, gebaseerd op Mozilla Android Components en GeckoView, verkeert nog in een bètafase. De app mist nog wat functionaliteiten en gebruikers stuiten ongetwijfeld op een aantal bugs. Het is de bedoeling dat die fouten via het testprogramma aan Mozilla worden gerapporteerd, zodat ze bij het verschijnen van de definitieve versie zijn opgelost. Fenix is opensource en zou eind juni klaar moeten zijn.

Wie zelf met Firefox Preview aan de slag wil, dient zich te registeren voor het bètatestprogramma. Testers moeten zich vervolgens aanmelden in een groep op Google en kunnen daarna via de Play Store de testbuilds ontvangen.

De grootste verandering in Fenix is de manier waarop de app omgaat met tabbladen. Bij de meeste smartphonebrowsers blijven tabbladen open totdat de gebruiker deze zelf afsluit. Fenix bundelt deze tabbladen juist in sessies. Zodra de gebruiker de Android-browser verlaat en niet binnen vijf minuten de app weer opent, worden deze tabbladen gebundeld in zo’n sessie.

De huidige Android-versie van Firefox zou nog twee grotere updates ontvangen, om na Firefox 68 uitsluitend nog kleinere bugfixes en veiligheidsupdates te krijgen.

Microsoft raadt af wachtwoorden te laten verlopen in Windows 10

Microsoft raadt de optie af om wachtwoorden automatisch te laten verlopen in Group Policy-instellingen voor Windows 10. Volgens Microsoft is het een verouderde methode van beveiliging. De wijziging zit in de 2019H1-versie van het besturingssysteem.

De instellingen om wachtwoorden te laten verlopen maken daardoor geen deel meer uit van de baselinevoor de komende release, meldt Microsoft. Zo kunnen bedrijven de optie uitschakelen zonder dat ze tegen het advies van Microsoft ingaan.

De praktijk is achterhaald, omdat een kwaadwillende een gestolen wachtwoord immers per direct kan gebruiken, waardoor het beleid van een nieuw wachtwoord elke twee maanden daar niet tegen beschermt. Beheerders kunnen een korte termijn instellen, maar daardoor moeten gebruikers vaker hun wachtwoord wijzigen.

Bovendien forceert het vaak veranderen van wachtwoorden om alleen kleine wijzigingen in wachtwoorden aan te brengen, waardoor ze makkelijk te raden kunnen zijn. Ook zijn er mensen die hun wachtwoord fysiek opschrijven en in de buurt van hun pc leggen, waarmee het geen veilige methode van beveiliging is. Daarnaast vergeten gebruikers ze vaak, claimt Microsoft.

Het bedrijf benadrukt dat de baseline van beveiligingsmaatregelen in Windows 10 een begin is, maar niet voldoende is voor een verantwoordelijk beveiligingsbeleid. Het softwarebedrijf raadt bedrijven aan om gebruik te maken van andere beveiligingsmaatregelen, zoals tweetrapsauthenticatie en het gebruiken van lijsten met verboden wachtwoorden. Dat zou de kwaliteit van wachtwoorden verbeteren. De wijziging geldt voor beheerde pc’s met een Group Policy.