GDS: Microsoft, Intel bevestigen “ondergang” van CPU’s van de 7e, 8e, 9e, 10e en 11e generatie, firmware uit

Intel en Microsoft hebben bevestigd dat bijna alle desktopprocessors van Intel, vóór de 12e generatie CPU’s, kwetsbaar zijn voor een nieuwe Transient Execution of Speculative Execution side-channel aanval genaamd Gather Data Sampling (GDS) kwetsbaarheid (codenaam “Downfall”). De nieuwe GDS-fout, genaamd “Downfall”, wordt gevolgd onder CVE-2022-40982.

Intel zegt dat chips van de 12e generatie en nieuwere, zoals Alder Lake en Raptor Lake, worden geleverd met Intel’s Trust Domain eXtension of TDX, die virtuele machines (VM’s) isoleert van virtuele machinemanagers (VMM’s) of hypervisors, en ze dus isoleert van de rest van de hardware en het systeem. Deze hardware-geïsoleerde virtuele machines zijn in wezen wat “Trust Domains” zijn en vandaar de naam.

In het ondersteuningsdocument KB5029778 legt Microsoft het volgende uit :

Microsoft is op de hoogte van een nieuwe tijdelijke uitvoeringsaanval genaamd ‘collect data sampling’ (GDS) of ‘Downfall’. Dit beveiligingslek kan worden gebruikt om gegevens van getroffen CPU’s af te leiden over beveiligingsgrenzen heen, zoals gebruikerskernel, processen, virtuele machines (VM’s) en vertrouwde uitvoeringsomgevingen.

Intel gaat op zijn website dieper in op Downfall of GDS en legt uit hoe aanvallers verouderde gegevens kunnen misbruiken op Intel’s 7e generatie (Kaby Lake), 8e generatie (Coffee Lake), 9e generatie (Coffee Lake vernieuwen), 10e generatie (Comet Lake) en 11e generatie (Rocket Lake op desktop/Tiiger Lake op mobiel), waarbij de eerder genoemde TDX ontbreekt. Het schrijft :

Gather Data Sampling (GDS) is een tijdelijke kwetsbaarheid aan de kant van de uitvoering die bepaalde Intel-processors treft. In sommige situaties waarin een verzamelinstructie bepaalde ladingen uit het geheugen uitvoert, kan een kwaadwillende aanvaller dit type instructie gebruiken om verouderde gegevens uit eerder gebruikte vectorregisters af te leiden. Deze gegevens kunnen overeenkomen met registers die eerder door dezelfde thread werden gebruikt, of door de zusterthread op dezelfde processorkern.

Intel heeft bevestigd dat het probleem is opgelost door microcode-update (MCU) of Intel Platform Update (IPU) versie 20230808 , aangezien de beperking standaard is ingeschakeld, hoewel er wordt opgemerkt dat er mogelijk sprake is van prestatieproblemen. Daarom worden gebruikers met Intel-CPU’s van de 7e generatie tot en met de 11e generatie geadviseerd om de firmware van hun moederbord bij te werken. U kunt dit doen door naar het ondersteuningsgedeelte van de website van uw moederbordfabrikant te gaan.

Ga naar Intel’s beveiligingsadvies ( INTEL-SA-00828 ) voor meer details.