Wat houdt de Intel L1TF kwetsbaarheid precies in?
16-08-2018 | door: Blogger

Wat houdt de Intel L1TF kwetsbaarheid precies in?

Intel heeft bekend gemaakt dat er een aantal ernstige kwetsbaarheden zijn ontdekt in haar processoren, waarmee ongeautoriseerd toegang is te verkrijgen tot data in de L1-cache.  Deze kwetsbaarheid is op te lossen door op OS niveau (Linux/Windows) de laatste patches te installeren. Echter kan er in een gevirtualiseerde wereld, zoals VMware of Hyber-V, niet vanuit gegaan worden dat alle VM`s 100% up-to-date zijn en dat deze kwetsbaarheid dus ook op die laag gepatches is. 

Dit betekend dat een kwaadaardige VM, welke dezelfde processor gebruikt als een andere 'goede' VM, toegang kan krijgen tot data uit de L1-cache (en uiteindelijk ook de memory) van die goede VM of zelfs de hypervisor. Onder andere VMware en Microsoft/Hyper-V hebben al patches uitgebracht om dit te voorkomen.

In het geval dat Hyperthreading aan staat, waardoor er meerdere threads gelijktijdig op dezelfde processor core uitgevoerd worden, is deze kwetsbaarheid niet op te lossen met alleen een patch. En Hyperthreading staat juist standaard aan in een gevirtualiseerde omgeving omdat je hiermee je resources efficiënter kan gebruiken en dus ook meer performance tot je beschikking hebt. 

In het kort

Het komt er op neer dat een VM door dit lek toegang kan krijgen tot data van een andere VM welke op dezelfde host draait. 

In dit filmpje van Red Hat wordt de kwetsbaarheid in begrijpelijke taal uitgelegd:

https://www.youtube.com/watch?time_continue=213&v=kBOsVt0iXE4

Voor niet gevirtualiseerde servers is de oplossing vrij simpel: zorg dat je machines (Windows of Linux) voorzien is van de laatste (security) updates. Bij de gevirtualiseerde omgeving, zoals VMware, ben je helaas nog niet klaar als je dit hebt gedaan. 

Wat te doen als je gebruik maakt van een cloud-omgeving:

Zorg ervoor dat al je virtuele machines up-to-date zijn met de laatste patches en vraag aan je cloud provider wat ze gedaan hebben om de omgeving te beveiligen. 

Hoe hebben wij het aangepakt?

Om deze kwetsbaarheid op te lossen hebben wij de volgende stappen gezet:

1. De managed omgevingen zijn meteen gepatched middels N-Central Software

2. De fysieke servers en ESXI-host zijn gepland gepatched

3. We hebben ervoor gekozen om Hyperthreading niet uit te zetten omdat dit een grote impact heeft op de performance. In plaats daarvan hebben we ESXI Side-Channel-Awere Scheduler aangezet. Meer informatie hierover vindt u hier: https://kb.vmware.com/s/article/55806

Conclusie:

Deze kwetsbaarheid toont weer aan hoe belangrijk het is dat een OS of een Cloud Provider up-to-date is.

Door: Harry Mauritz, CTO bij Data Comfort

Terug naar nieuws overzicht
Hardware