Een paar weken geleden rolde Microsoft snel een patch om de Spectre en Meltdown te repareren beveiligingsproblemen in Windows 7. Helaas eindigden de dingen niet zoals gepland, omdat de Meltdown-patch van het bedrijf zelfs nog meer beveiligingsproblemen veroorzaakte.
De patch bracht meer gebreken met zich mee in Windows 7, waardoor alle apps op gebruikersniveau inhoud konden lezen van de Windows-kernel. Meer dan dat, de patch maakt het zelfs mogelijk om gegevens naar het kernelgeheugen te schrijven. Dit is wat u over dit alles moet weten.
Dit is wat de Meltdown-patch heeft geactiveerd in Windows 7
Ulf Frisk, de Zweedse expert in IT-beveiliging, ontdekt het gat dat deze nieuwste Microsoft-patch veroorzaakt. Hij deed dit tijdens het werken aan PCILeech, een apparaat dat hij een paar jaar geleden heeft gemaakt en dat Direct Memory Access (DMA) -aanvallen uitvoert en ook beschermd OS-geheugen dumpt.
Volgens deze expert is de Meltdown-patch van Microsoft voor CVE-2-17-5754 erin geslaagd om per ongeluk een fout te veroorzaken in het bit dat de toegangsrechten van het kernelgeheugen regelt. Frisk opende zijn blogpost door te schrijven:
Maak kennis met de Windows 7 Meltdown-patch van januari. Het stopte Meltdown maar opende een kwetsbaarheid die veel erger was... Het stond elk proces toe om de volledige geheugeninhoud met gigabytes per seconde, oh - het was mogelijk om naar willekeurig geheugen te schrijven als goed.
Er waren geen fancy exploits nodig. Windows 7 heeft al het harde werk gedaan om het vereiste geheugen in elk lopend proces in kaart te brengen. Exploitatie was slechts een kwestie van lezen en schrijven naar reeds toegewezen virtueel geheugen tijdens het proces. Geen fancy API's of syscalls vereist - gewoon standaard lezen en schrijven!
Frisk ging verder en legde uit dat de “Permissiebit gebruiker/supervisor is ingesteld in de PML4-zelfverwijzende invoer”, en dit leidde tot de beschikbaarheid van paginatabellen voor gebruikersmoduscode in alle processen.
- VERWANT: Intel's 8e generatie CPU's brengen een nieuw hardware-ontwerp om Spectre & Meltdown te blokkeren
Deze paginatabellen zouden alleen onder normale omstandigheden via de kernel toegankelijk moeten zijn. De PML4 wordt gebruikt door de CPU Memory Management Unit om de virtuele adressen van processen om te zetten in fysieke geheugenadressen in RAM.
Microsoft lost het probleem op met de release van Patch Tuesday van maart 2018
Volgens de Zweedse expert lijkt het probleem zich alleen voor te doen in 64-bits versies van Windows 7 en Windows Server 2008 R2. Microsoft heeft de fout verholpen door de PML4-toestemming terug te draaien naar de oorspronkelijke waarde in de Patch dinsdag van maart. Het lijkt erop dat Windows 8.1- of Windows 10-computers geen last hebben van dit probleem.
VERWANTE VERHALEN OM TE BEKIJKEN:
- AMD bevestigt gebreken gevonden door CTS-labs; belooft patches met fixes
- Intel zegt dat je geen Spectre- en Meltdown-patches moet installeren
- 100% opgelost: VPN werkt niet op Windows 7-computers
