Er zijn aanwijzingen dat Intel-processors een bug hebben die toegang tot beschermd kernelgeheugen mogelijk maakt. De oplossing zou liggen in een page table isolation-patch, maar deze kan in ieder geval bij Linux tot flinke prestatievermindering bij bepaalde toepassingen leiden.

De kwetsbaarheid zou meerdere generaties van Intel-processors treffen en vereisen dat Windows, macOS en Linux lowlevel-patches doorvoeren. Die zouden een negatieven impact op de prestaties van 5 tot 30 procent hebben, afhankelijk van de toepassingen.

Linux 4.15, dat de patch bevat, in combinatie met een systeem met de Intel Core i7-8700K, laat bij benchmarks van Phoronix flinke prestatieverlagingen zien in FS-Mark-, Compile Bench- en PostgreSQL. Een gebruiker van de PostgreSQL-mailinglijst //www.postgresql.org/message-id/Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken." rel="external" title="www.postgresql.org - heads up: Fix for intel hardware bug will lead to performance regressions" target="_blank">merkt hetzelfde op. Tests van Phoronix tonen geen prestatieverschil bij gaming met dezelfde Linux-versie. Applicaties die zich beperken tot user spacezouden niet trager werken door de patch.

Intel heeft nog geen details over de bug gepubliceerd en beveiligingsbedrijven evenmin, maar onder andere op Reddit wordt opgemerkt dat een publicatie over een ernstige kwetsbaarheid op handen lijkt. Dat zou onder andere af te leiden zijn door activiteit in de Linux-gemeenschap.

Ontwikkelaars voor de Linux-kernel werken al een tijd aan zogenoemde Kaiser-patches. Die zijn begin december omgedoopt tot x86/kpti-patches, waarbij kpti staat voor kernel page table isolation. Kpti is een beveiligingstechniek om kernelgeheugen beter te scheiden van userland. Door de kernel zoveel mogelijk te unmappen uit pagetables moet er zo min mogelijk af te leiden zijn over de virtuele geheugenruimte voor de kernel. De patches zijn gemergd in Linux-kernel 4.15, met backporting naar kernelversie 4.14.10.

De patches zijn in relatief korte tijd, drie maanden, doorgevoerd. Microsoft werkt aan vergelijkbare beveiliging als Kaiser voor Windows, waarbij Alex Ionescu, beveiligingsdeskundige en expert op het gebied van kernelontwikkeling, https://t.co/QPVeH5cdBl"" target="_blank">liet weten dat er half januari meer bekend zou worden gemaakt over de implementatie.

Het werk lijkt bedoeld om address space layout randomization weer veiliger te maken. Deze techniek moet voorkomen dat een aanvaller achter geheugenadressen kan komen. Aslr werkt door willekeurige locaties in het virtuele geheugen aan te wijzen waar programma's belangrijke componenten kwijt kunnen. In de afgelopen jaren zijn er kwetsbaarheden met betrekking tot aslr geconstateerd, onder andere door onderzoeksgroep softwarebeveiliging van de VUbegin vorig jaar. De ontwikkelaars van de Oostenrijkse TU Graz publiceerden hun eerste werk aan de Kaiser-patch als maatregel tegen sidechannelaanvallen die aslr omzeilen, en dan met name kernel address space layout randomization, of kaslr.

Het blog Python Sweetness en vervolgens The Register speculeren nu dat er met haast aan de patches gewerkt wordt omdat Intel-processors een ernstiger bug bevatten. Ook op LWN wordt opgemerkt dat de patches versneld lijken te worden doorgevoerd onder druk van een deadline. Bovendien meldt AMD's Tom Lendacky op de mailinglijst voor Linux-kernelontwikkeling dat de aanvallen waar kpti bescherming voor moet bieden, niet werken op AMD-processors. Hij maakt daarbij duidelijk dat AMD-chips 'speculatieve geheugenreferenties' niet ondersteunen.

Intels cpu-pipeline maakt gebruik van speculative execution om de verwerking van data te kunnen versnellen en G-Data's Anders Fogh heeft afgelopen zomer doorbraken gemaakt bij het misbruiken hiervan voor sidechannelaanvallen. Hij slaagde er met zijn Core i3-5005U niet volledig in kernelgeheugen uit te lezen vanuit usermode, maar zijn resultaten toonde wel aan dat de implementatie zwakheden vertoonde en hij sprak van 'het openen van de doos van Pandora'.

Als de vermoedens over de bug kloppen, zou dit met name impact hebben op clouddiensten als Amazons EC2, Microsofts Azure en Googles Compute Engine. De kans bestaat dat het mogelijk is voor aanvallers om kernelgeheugen van virtuele machines te benaderen die op hetzelfde Intel-systeem draaien. Microsoft heeft onderhoud en een reboot aangekondigd voor virtuele machines op Azure. Dat moet op 10 januari gebeuren. Amazon heeft https://t.co/Dbrpx78VAd"" target="_blank">klanten ingelicht over een reboot van EC2-instances op 5 januari.

Reacties mogelijk gemaakt door CComment