Security
Spectre en Meltdown

Microsoft beloont hulp tegen Spectre en Meltdown

Premies tot 250.000 dollar voor nieuwe categorie computeraanvallen.

15 maart 2018

Premies tot 250.000 dollar voor nieuwe categorie computeraanvallen.

Microsoft, maker van het besturingssysteem dat ongeveer even wijdverspreid is als de Intel-, ARM- en AMD-chips die gevoelig zijn voor de Spectre- en Meltdown-bugs, looft forse beloningen uit voor wie die processorgaten succesvol kan misbruiken.

De bugs komen neer op interne datalekkage op computers waarbij software dan andere softwareprocessen zou kunnen 'afluisteren'. De crux zit in het feit dat moderne processors een speculatieve aanpak hebben voor het uitvoeren van code. Verschillende instructies en codepaden worden hierbij pro-actief uitgevoerd waarna alleen het uiteindelijk benodigde rekenresultaat wordt behouden. De andere doorgerekende instructies worden dan verworpen.

In de praktijk blijkt er echter niet op privileges te worden gecheckt voor de speculatieve code. Processors passen deze truc van pro-actief uitvoeren al jaren toe, omdat het voor een veel hoger prestatieniveau zorgt. Vandaar dat bijna elke computer ter wereld kwetsbaar is voor een hierop gebaseerde aanval, waarmee data kan lekken en systeemsecurity gevaar loopt. 'Afluisterende' code kan in theorie informatie voor root-toegang buitmaken.

Premature patches

Het patchen van deze diepgaande bugs was en is een drama. Veel computers en bijvoorbeeld antivirusprogramma's kregen door snel uitgebrachte patches verschillende soorten problemen; uiteenlopend van crashes tot spontane reboots. Daarnaast doen de patches natuurlijk de behaalde snelheidswinst van speculatieve code-uitvoering teniet.

Computerleveranciers Dell en HP hebben hun updates (op basis van Intels firmwarefixes) teruggetrokken. Microsoft heeft zelfs een patch uitgebracht om die van Intel teniet te doen. De chipfabrikant heeft wel nieuwe hardware aangekondigd die niet gevoelig is voor deze vorm van misbruik, maar gezien de aantallen kwetsbare processoren in de wereld is er grote behoefte aan patches die wel goed werken.

Premie voor de witte hoed

Microsoft is intussen een beloningsprogramma begonnen om misbruik van Meltdown en Spectre tegen te gaan. De softwareproducent is op zoek naar verschillende soorten exploits. Zo vraagt het voorbeelden van exploits in Windows 10 of in de ingebouwde webbrowser Edge, waar het 25.000 dollar voor over heeft. Daarnaast is er een bugbeloning voor manieren om Microsofts eigen fix te omzeilen in Windows en Azure (wat Microsoft 200.000 dollar waard is).

En tot slot beloont het bedrijf essentieel nieuwe manieren om de processorbugs uit te buiten (premies tot 250.000 dollar). De hoop is dat hackers hierdoor legale eieren voor hun geld kiezen. Microsoft zegt toe de resultaten van zijn bug bounty-programma te delen met belanghebbende partijen.

Lees meer over
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.