Onderzoekers hebben opnieuw een beveiligingslek in processors van Intel ontdekt. De kwetsbaarheid, die de naam 'NetCAT' (voor Network Cache Attack) heeft gekregen, maakt het voor kwaadwillenden mogelijk om data uit het cachegeheugen van Intel-cpu's te vissen. Denk hierbij aan bijvoorbeeld toetsaanslagen in een secure shell-omgeving tussen twee servers.

 

NetCAT werd ontdekt door onderzoekers van de Vrije Universiteit te Amsterdam en ETH Zürich. Eerstgenoemde bracht in mei ook al de ZombieLoad- en RIDL-beveiligingslekken aan het licht. De nieuwe kwetsbaarheid maakt gebruik van Intels Direct Data i/o-technologie (ddio), die het voor o.a. netwerkkaarten mogelijk maakt om direct met het cachegeheugen van een processor te communiceren in plaats van via het systeemgeheugen.

Intel

Het verschil tussen ddio (oranje) en direct memory access (blauw).

Deze toevoeging, die sinds de Sandy Bridge-architectuur in de serverprocessors van Intel zit, maakt het voor aanvallers mogelijk om data uit het cachegeheugen van bijvoorbeeld datacentra of cloudomgevingen te bemachtigen. De functie is standaard ingeschakeld op alle Xeon-cpu's sinds 2012. Voor zover bekend zijn de architecturen van AMD en andere bedrijven niet vatbaar voor dit lek, aangezien zij geen netwerkgegevens op gedeelde cpu-caches stallen.

In hun paper speculeren de onderzoekers dat NetCAT slechts het topje van de ijsberg is wat netwerkgerelateerde cache-kwetsbaarheden. In de toekomst komen er waarschijnlijk nog meer varianten van dergelijke aanvallen aan het licht, verwachten zij. 

intel

Kaveh Razavi, één van de VU-onderzoekers die meewerkte aan het project, schrijft in een e-mail aan Ars Technica dat NetCAT een erg gecompliceerd beveiligingslek is. Derhalve zal het niet een veel voorkomende manier van aanvallen zijn. Desondanks raadt het onderzoeksteam aan om ddio in situaties waar het veiligheidsbelang hoog is uit te schakelen. Dit brengt wel prestatieverlies met zich mee. 

 

Reacties mogelijk gemaakt door CComment