Nieuwe CPU-gerelateerde kwetsbaarheid ontdekt
Onderzoekers van een drietal Amerikaanse universiteiten hebben een nieuwe kwetsbaarheid in processoren ontdekt, gebaseerd op de variabele frequenties die moderne processoren hebben. Ze hebben deze kwetsbaarheid toepasselijk “Hertzbleed” genoemd.
Hoe werkt deze kwetsbaarheid precies?
Zoals ik net al toelichtte, zit de basis in de variabele frequenties. Dit heeft er mee te maken dat de processor zodra deze meer werk doet, naar een hogere frequentie schiet. Voorbeelden die de onderzoekers hebben gevonden, zijn bijvoorbeeld dat binnen hetzelfde programma een berekening als 2022 + 23823 een andere frequentie op de processor oplevert als de berekening 2022 + 24436.
Wat kunnen aanvallers hier precies mee?
Het complete bereik van deze aanval is natuurlijk lastig in te schatten. Momenteel zijn de onderzoekers er vooral bang voor dat deze kwetsbaarheid er voor kan zorgen dat men data en sleutels uit cryptografische applicaties kan halen. Er is echter maar één slimme groep nodig die nog een ontdekking doet hierin om een volgende toepassing te vinden.
Is mijn PC/mobiele telefoon/tablet hier ook de dupe van?
Het korte antwoord is ja. Zowel Intel als AMD hebben al aan de onderzoekers laten weten (die deze kwetsbaarheid laat vorig jaar aan hen hebben getoond) dat veel, als niet alle processoren die zij leveren last hebben van “Hertzbleed”. ARM en andere vendors van processoren hebben nog niks laten weten hierover, maar als er variabele frequenties aan te pas komen kan je er vanuit gaan dat je processor ook de dupe is.
Is Hertzbleed een bug? een zero day? een exploit?
Hertzbleed is vooral het laatste; een exploit. De verschillende frequenties naarmate de berekening zwaarder wordt zijn een bedoeld gevolg van de variable frequenties die alle moderne CPU’s ondertussen hebben.
Hoe beveilig ik mezelf hiervan?
Allereerst is het belangrijk om te weten dat een aanvaller niks zou kunnen zolang hij niet bij jouw CPU stats kan komen. Als je firewall goed is en je verder geen sketchy programma’s op je PC hebt staan, is de kans redelijk laag dat mensen er iets mee kunnen. De kwetsbaarheid is verder ook pas 2 dagen publiek, dus verwacht niet dat aanvallers er meteen mee aan de slag kunnen, vooral omdat ze het in de context van een programma moeten gebruiken en daarvoor eerst alles uitgezocht moet worden.
Intel en AMD hebben beiden al vanaf eind vorig jaar dan wel begin dit jaar toegang tot de conceptcode voor deze aanval. Ze hebben beiden aangegeven dat ze hier zelf niks mee kunnen (want dat zou de hele ontwikkeling voor variabele frequenties teniet doen), maar dat de documentatie en sturing bieden aan developers om er voor te zorgen dat hun programma’s beter bestand zijn tegen de exploit.
Draai je dus programma’s waarin je veel met cryptografische sleutels en hashes werkt, zorg dus dat deze goed up to date zijn en blijven. Mocht je er verder echt bang voor zijn, zou je het probleem kunnen verhelpen door je CPU op een vaste frequentie te draaien. Gezien de huidige scope van dit probleem, en de kans dat een aanvaller hier momenteel wat mee kan is dit echter niet iets wat ik aanraadt voor gewone gebruikers.
Iets dieper duiken in Hertzbleed?
Hoewel ik hier het volledige artikel kan gaan overtypen, kan je voor meer informatie het beste hier op de website van de onderzoekers zelf kijken. Hier vind je een Engelse Q&A over Hertzbleed (die we hier grotendeels hebben gecovered), en mocht je het echt interessant vinden kan je hier hun paper vinden.