Press Release

OVH – L1 Terminal Fault (L1TF) / Foreshadow Disclosure

corporate

""Im Rahmen unserer Partnerschaft mit Intel wurden wir über einen neuen Angriffsvektor informiert, der Sicherheitslücken ausnutzt, die als „spekulative ausführungsseitige Channelangriffe” (speculative execution side-channel attacks) bezeichnet werden. Diese neue Sicherheitslücke, L1 Terminal Fault (L1TF), oder auch Foreshadow, gehört zur Reihe der Spectre- und Meltdown-Sicherheitslücken, die zwischen Januar und Mai 2018 entdeckt wurden. Was ist L1TF eigentlich? L1 Terminal Fault (L1TF) oder „Foreshadow“ bezeichnet eine Sicherheitslücke, die Prozessoren mit SMT-Technologie (besser bekannt als Intels Hyper-Threading-Technologie (HTT)) betrifft. Durch die Ausführung von bösartigem Code auf einem Thread kann auf Daten des Level-1-Cache eines anderen Threads auf demselben Kernel zugegriffen werden.   Die Umsetzung einer L1TF / Foreshadow Sicherheitslücke ist sehr komplex und nur durch ein im Labor entwickeltes Proof of Concept konnte ihre Existenz bestätigt werden. Obwohl es keinen Hinweis darauf gibt, dass Foreshadow schon ausgenutzt wurde, wurden bereits drei CVE-Namen (mit der Einstufung „high“ ) erstellt:

  • L1 Terminal Fault – SGX (CVE-2018-3615) 7.9 High CVSS: 3.0/AV: L/AC: L/PR: N/UI: N/S: C/C: H/I: L/A: N
  • L1 Terminal Fault – OS, SMM (CVE-2018-3620) 7.1 High CVSS: 3.0/AV: L/AC: L/PR: N/UI: N/S: C/C: H/I: N/A: N
  • L1 Terminal Fault – VMM (CVE-2018-3646) 7.1 High CVSS: 3.0/AV: L/AC: L/PR: N/UI: N/S: C/C: H/I: N/A: N.

Wie kann man sich vor dieser Sicherheitslücke schützen? Diese drei Varianten von L1 Terminal Fault (L1TF) können auf zwei Arten abgewehrt werden:

  • über die im Mai zur Verfügung gestellten Microcode-Updates (über den UEFI-Boot von OVH und/oder das Betriebssystem)
  • über das Update von Betriebssystem und Kernel (die größten Herausgeber von Betriebssystemen und Hypervisoren werden Patches zur Verfügung stellen)

OVH wird die Patches auf seinen Host-Servern installieren, sobald diese zur Verfügung stehen und wir sie wie gewohnt intern durch unsere Regressiontests überprüft haben. Kunden mit verwalteten Angeboten (Webhosting, E-Mails usw.) müssen also nichts tun. Kunden mit Root-Zugriff auf ihre Infrastrukturen (Dedicated Server, VPS, Public Cloud, Private Cloud usw.) können diese über ein Update des Betriebssystems und des Kernels (https://docs.ovh.com/de/dedicated/kernel-eines-dedizierten-servers-aktualisieren/ (Englisch)) sichern. Details zur Variante CVE-2018-3646 Im besonderen Fall der Foreshadow-Variante 3646 kommt es möglicherweise zu Verzögerungen, bis die Herausgeber einen Patch zur Verfügung stellen. In der Zwischenzeit können Sie Hyper-Threading deaktivieren, um sich vor dieser Variante zu schützen. Das ist je nach Fall direkt über das Betriebssystem (Linux, Windows, ...) möglich. VMware ESXi wird diese Funktion nach unseren Informationen im Zuge des nächsten Updates zur Verfügung stellen. Achtung: Die Deaktivierung kann sich stark auf die Performance auswirken. Da es sehr schwierig ist, diese Sicherheitslücke auszunutzen, raten wir, die Empfehlungen des Herausgebers des verwendeten Betriebssystems oder Hypervisors abzuwarten, bevor Sie Hyper-Threading deaktivieren. Allgemeine Empfehlungen Unseren Kunden empfehlen wir generell, ihre Systeme immer auf dem aktuellsten Stand zu halten, um eine maximale Effizienz der eingerichteten Sicherheitsmaßnahmen zu garantieren. Als weltweit tätiger Anbieter von Hosting- und Cloud-Diensten arbeiten wir eng mit unseren Partnern, d. h. Produzenten und Herausgebern, zusammen, um die Sicherheit unserer Infrastrukturen kontinuierlich zu verbessern. Sobald neue Sicherheitslücken entdeckt werden, installieren wir die Patches zusätzlich zu internen Sicherheitsmaßnahmen. Die L1 Terminal Fault (L1TF) / Foreshadow Sicherheitslücke stellt dabei keine Ausnahme dar. Aber aufgrund des großen Medienechos zu ihrer Entdeckung und getreu dem OVH Grundsatz der Transparenz möchten wir mit diesem Beitrag auf die Fragen unserer Kunden eingehen. Weitere Informationen: http://travaux.ovh.net/?do=details&id=33475 https://foreshadowattack.eu/ https://software.intel.com/security-software-guidance/software-guidance/l1-terminal-fault Links zu Artikeln der Software-Herausgeber:

 ""