Groot lek in Intel-processoren: gevoelige informatie voor het oprapen

Onderzoekers van VUSec van de Vrije Universiteit Amsterdam hebben een groot lek ontdekt in chips van Intel. Door dit lek is het mogelijk is om wachtwoorden en andere gevoelige informatie te lekken uit andere programma's. De ontdekking is inmiddels al ongeveer een jaar onder embargo, omdat Intel deze tijd nodig had om een acceptabele ‘fix’ te ontwikkelen.

14-05-2019 | 19:00

Het lek treft alle Intel-processoren die gemaakt zijn vanaf 2008 en heeft vergaande mogelijkheden aan kwaadwillenden om hier op vrij eenvoudige wijze misbruik van te maken. Als thuisgebruikers bijvoorbeeld met hun browsers een website bezoeken met daarop een advertentie of andere inhoud met daarin een kwaadaardig Javascript-programmaatje, kan de aanvaller al data stelen.

RIDL
Ook in de cloud bestaat het probleem. Als twee gebruikers dezelfde processor-core delen in de cloud, kan de ene virtuele machine informatie lekken uit de andere. Het probleem, dat door de VU onderzoekers RIDL (Rogue In-Flight Data Load) wordt genoemd en door Intel MDS (Microarchitectural Data Sampling), vergt updates in de microcode van de processor én in de software (waaronder het besturingsysteem).

Updates installeren
Intel heeft, tezamen met software-leveranciers zoals Microsoft en Apple, een reeks maatregelen ontwikkeld. Deze bieden gebruikers bescherming tegen aanvallers die hiervan misbruik maken. Het is aan te raden dat gebruikers updates van hun processoren en software snel installeren. Daarnaast raadt VUSec aan om hyper-threading indien mogelijk volledig uit te zetten (hyper-threading is een trucje dat Intel-processoren in staat stelt om meerdere zaken tegelijk te draaien op één enkele processor-core, waardoor de chip efficiënter wordt). Dit is in veel (maar helaas niet alle) computers mogelijk, bijvoorbeeld op de volgende wijze.

VUsec
Het is niet de eerste keer dat de onderzoeksgroep VUsec van Herbert Bos een groot lek vond. In 2018 kwam VUsec naar buiten met nieuws over gevoeligheden in Android-toestellen. In 2016 en in 2017 wonnen de onderzoekers in totaal drie Pwnie Awards - ook wel de Oscars van de hackerswereld genoemd - voor verschillende gevoeligheden.