10 januari, 2018

Spectre och Meltdown - De allvarligaste säkerhetsbristerna hittills

I förra veckan uppdagades nyheten om sårbarheterna Meltdown och Spectre som påverkar processorer från flera av de stora leverantörerna på marknaden. Sårbarheterna är kritiska, berör merparten av alla moderna datorer och saknar motstycke i modern tid, både i omfattning och allvarlighetsgrad. Den enda förmildrande omständigheten är att de inte går att utnyttja direkt över nätverk, så som den mindre allvarliga men mer direkt exponerade bristen Heartbleed.

Både Meltdown och Spectre bygger på tidigare kända klasser av säkerhetsbrister men är högst komplexa i sin natur. Territoriet är så pass tekniskt utmanande att det har tagit många år för en samlad grupp av experter inom IT-säkerhetscommunityt att nå fram till de slutsatser kring bristerna som nu har offentliggjorts.

Meltdown

Meltdown drabbar alla datorer med Intel- och Apple-processorer och bereder applikationer åtkomst till previlegad information ur datorns minne, så som krypteringsnycklar och lösenord. Bristen ”smälter” bort de inbyggda skydd som ska förhindra att detta ska kunna ske, därav namnet ”Meltdown”.

Spectre

Spectre innefattar två sårbarheter och är mer omfattande än Meltdown, eftersom den drabbar alla datorer och majoriteten av alla mobiler och surfplattor. Sårbarheten arbetar genom att lura applikationer till att utföra instruktioner som de inte borde kunna göra, för att på så sätt få tillgång till information från andra applikationer. Sårbarheten kan även utnyttjas genom webbläsare som inte är uppdaterade.

Hur kan sårbarheterna utnyttjas?

Tekniskt sett ger både Spectre och Meltdown angripare möjligheten att läsa skyddat minne. I praktiken leder detta till att angripare kan utnyttja bristerna till att ta full kontroll över systemet – eller i värsta fall hela virtualiseringsplattformen.

För att en angripare ska ha möjlighet att utnyttja bristerna krävs någon av följande förutsättningar;

  • Möjlighet att exekvera kod i ett system, till exempel genom en användare.
  • Tillgång till en virtuell maskin som körs på servern.
  • En identifierad sårbarhet i en applikation som körs i systemet.

Så kan din organisation påverkas

För privatpersoner medför detta risker då bristerna i förlängningen kan utnyttjas för samma syften som andra allvarliga säkerhetsbrister, till exempel för att läsa eller manipulera känslig information eller kryptera filer i ransomware-syfte. Därtill kan man förvänta sig att uppdateringar för vissa plattformar – Android-telefoner och surfplattor i första hand – antingen dröjer eller aldrig ens görs tillgängliga för slutanvändare.

Bristerna utgör ett större hot mot företag, i synnerhet molnleverantörer, då de tillhandahåller delad infrastruktur mellan olika kunder. Om en sårbar applikation körs, eller om en illvillig användare utnyttjar bristerna, så kan de användas för att stjäla information eller ta kontroll över system som ägs av andra kunder i den delade miljön. Det är därmed extra viktigt att vidta säkerhetsåtgärder för dig som har outsourcade tillgångar i molnmiljöer.

Tillgängliga uppdateringar

Som tidigare nämnt får man räkna med att vissa produkter får uppdateringar med viss fördröjning eller i värsta fall inte alls. Generellt sett kommer system behöva startas om minst en gång för att applicera alla nödvändiga patchar och uppdateringar.

Uppdateringar för Meltdown

  • Datorer med Intel-processorer behöver uppdatera operativsystemet, oavsett om de kör Windows, Mac OS eller Linux.
  • Windows-datorer behöver patcha den senaste uppdateringen från Windows.
  • De Mac-användare som inte redan har installerat Mac OS High Sierra 10.13.2, den senaste uppdateringen för Apple, behöver göra det.

Uppdateringar för Spectre

  • Samtliga datorer, mobiltelefoner och surfplattor behöver uppdatera sina operativsystem.
  • Samtliga datorer behöver uppdatera sin Uefi-version. Detta sker automatiskt i App Store och Windows Updates för datorer från Apple och Microsoft, men behöver installeras manuellt på datorer från övriga leverantörer.
  • Samtliga datorer behöver uppdatera sin webbläsare. I dagsläget har Mozilla Firefox och Microsoft Edge uppdaterats automatiskt. Apple har släppt en uppdatering för Safari och den nya versionen av Chrome beräknas släppas den 23 januari.
  • Uppdateringar till vissa Android-telefoner finns tillgängliga, och uppdateringar till övriga modeller förväntas släppas framöver.
  • Iphones behöver installera Apples nya uppdatering av IOS (11.2.2).

Över tiden kan ytterligare relaterade sårbarheter upptäckas, parallellt med exempelkod för att utnyttja dem. Genom att hålla dig uppdaterad om nya säkerhetsfixar, mitigeringar och tillhörande råd kan du skydda dig mot aktuella och framtida sårbarheter i största möjliga mån.