Bugfix voor Meltdown leidde bij Windows 7 en Server 2008 R2 tot nog groter lek

Windows 7 x64-systemen blijken ernstig kwetsbaar te zijn als gevolg van Microsofts Meltdown-patches van januari en februari. Volgens een beveiligingsonderzoeker introduceerden de patches een kernelgeheugenlek. Ook Windows Server 2008 R2 blijkt vatbaar.

De patches hadden tot gevolg dat het geheugen van Windows 7 x64- en Windows Server 2008 R2-systemen was uit te lezen zonder dat hiervoor exploits, api's of syscalls nodig waren, schrijft beveiligingsdeskundige Ulf Frisk. Volgens hem kwam er door de patches toestemming op gebruikersniveau bij de page map level 4-hiërarchie, die door de memory management unit wordt gebruikt voor de vertaling van virtuele geheugenadressen naar de fysieke adressen in het ram.

Het gevolg was dat de pagetables door een ieder te benaderen waren binnen Windows 7 x64 en Windows Server 2008 R2. Ook bleek het mogelijk om naar het geheugen te schrijven. Volgens Frisk maakt dit het eenvoudig om een complete geheugendump te doen en als proof-of-concept heeft hij de techniek daarvoor toegevoegd aan zijn dma-aanvalstoolkit PCILeech.

Frisk benadrukt dat Windows 10 en Windows 8.1 niet getroffen zijn door de bug en dat Microsoft het lek met de patch van maart heeft gedicht. Die patch leidde bij veel gebruikers tot problemen doordat deze de instellingen van de virtual network interface card, of vNIC, overschreef. Microsoft meldt bij de notities van de patch van 13 maart bekend te zijn met de problemen en deze met een komende update tegen te gaan. Windows 7- en Server 2008 R2-gebruikers die wel de updates van januari en februari hebben doorgevoerd, maar niet de patch van 13 maart, zijn daarmee kwetsbaar.

Voorbeeld van toegang tot PML4 via PCILeech

Reacties (59)

Jay-v 28 maart 2018 11:59

Voor degene die tegen het vNIC probleem uit het nieuwsbericht aanloopt:

I've done some testing on a 2008R2 VM that is fully patched. Installing either KB4088875 or KB4088878 replaces it's VMXNET3 adapter with a new one that gets a DHCP address. Using the script from https://support.microsoft...nd-windows-server-2008-r2 BEFORE installing the updates solves it. It also works after installing the updates, but there's no reason to do it after, as it requires and extra restart.

For those of you who find this and need this fixed ASAP

-Windows Run -cmd In the same CMD window run-

set devmgr_show_nonpresent_devices=1

Then

start devmgmt.msc

In Device Manager

View > Show Hidden Devices

Then go under networking and delete the grayed out NICs and everything will come back.

You may need to bounce the box for the NICs to come back online.

Edit So this works 50/50 some of them regain their IPs some don't. Just make sure you delete those ghost NICs either way. They will show conflicting IPs if you try to add new ones without deleting them.

Source: https://www.reddit.com/r/...875kb4088878_and_vmxnet3/

[Reactie gewijzigd door Jay-v op 23 juli 2024 22:10]

justme256 @Jay-v • 28 maart 2018 15:33

Ik liep er twee weekenden geleden tegenaan bij een maintenance cycle. Duurde ff voordat ik die door had.

Mitsuko @Jay-v • 28 maart 2018 17:08

GhostBuster werkt waarschijnlijk ook om deze verborgen devices te verwijderen. Soms handig voor soortgelijke problemen met onthouden maar niet meer aanwezige apparaten.

Slavy 28 maart 2018 11:06

Nu volg ik hem even niet meer, wat waren de originele KB's om deze problemen tegen te gaan welke het erger maakten?

Dennism @Slavy • 28 maart 2018 11:41

Voor zover ik weet lost KB4091290 het issue op en zat het issue in KB4056894 (2018-01 Monthly Rollup voor Windows 7 / Windows Server 2008 R2) en KB4074598 (2018-02 Monthly Rollup voor Windows 7 / Windows Server 2008 R2).

Chuk 28 maart 2018 11:06

Duid toch weer de over-complexiteit van het gehele systeem (windows NT kernel) als de ene patch weer andere exploit tevoorschijn trekt...

Verwijderd @Chuk • 28 maart 2018 11:18

tja, welk OS is wel perfect wat dat betreft.

beerse @Verwijderd • 28 maart 2018 15:10

Geen os is perfect, maar de architectuur van groot en monolithisch heeft meer patch problemen van de architectuur van klein en verdeel-en-heers. Daarbij kunnen delen gewoon worden weggelaten.

batjes

Besturingssystemen
Microsoft Windows 7 Ultimate
Microsoft

@Chuk • 28 maart 2018 12:19

Welkom bij software development.

https://i.imgur.com/HTisM...ape=thumb&fidelity=medium

[Reactie gewijzigd door batjes op 23 juli 2024 22:10]

Verwijderd 28 maart 2018 11:07

dat is erg pijnlijk. Bijna alsof het niet getest is, anders had Microsoft dit al voorzien.
Te snel gereleased vanwege de media-aandacht?

JWL92 @Verwijderd • 28 maart 2018 15:07

Ook mijn gedachte
Tuurlijk kan je niet alles tot in t uiterste testen, maar k heb zon gevoel dat ze weinig aandacht aan win7 besteden, en liever zien dat mensen overstappen op 10 of linux..

YangWenli @Verwijderd • 28 maart 2018 14:57

Zou me niet verbazen, het was een kritieke security update en dan heb je geen week de tijd. Kan me ook voorstellen dat Windows 7 minder aandacht heeft bij MS.

Overigens heb ik win 10 ltsb. Liever dat anderen eerst bèta testen dan snelheid.

Verwijderd @YangWenli • 29 maart 2018 07:39

ik wou dat wij op het werk LTSB hadden. Daar hebben we eigenlijk gewoon de normale en gebruikers worden gillend gek van de updates.

biglia 28 maart 2018 11:10

Frisk benadrukt dat Windows 10 en Windows 8.1 niet getroffen zijn door de bug en dat Microsoft het lek met de patch van maart heeft gedicht.

Dus als ik goed begrijp is de conclusie dat het probleem is opgelost? Dan zou om paniek te vermijden de titel beter in de verleden tijd staan: Bugfix voor Meltdown leidde bij Windows 7 en Server 2008 R2 tot nog groter lek

Toettoetdaan @biglia • 28 maart 2018 11:16

Nee, dat is niet de conclusie, als je nu nog Windows 7 of Server 2008 R2 draait en je bent helemaal up-to-date, dan heb je deze bug.

En heel veel systeemen draaien nog op deze versies van windows en kunnen niet makkelijk worden overgezet naar W10. (anders was dat al wel gebeurt)

Dus dit is best een vervelend bugje.
Ik dacht dat je bedoelde dat updaten naar W10 het oplost, maar het is duidelijk dat ik nog een kopje koffie nodig heb...

[Reactie gewijzigd door Toettoetdaan op 23 juli 2024 22:10]

TripleTech @Toettoetdaan • 28 maart 2018 11:20

Dat is zeker wel de conclusie, want de patches van januari en februari hadden het beschreven lek. Door middel van de patch in maart is het opgelost.

Dus als je helemaal up-to-date bent, zoals je schrijft, heb je de patch van maart.

Toettoetdaan @TripleTech • 28 maart 2018 11:27

Bedankt, ik had het inderdaad verkeerd gelezen. Ik zet nog even een extra pot koffie

PCBaas 28 maart 2018 11:37

99 little bugs in the code
99 little bugs in the code
Take one down, patch it around
127 little bugs in the code

PLYRZR0 @PCBaas • 28 maart 2018 11:40

Made my day xD

Chance77 @PCBaas • 29 maart 2018 11:51

99 little bugs in the code
99 little bugs in the code
Take one down, patch it around
127 little bugs in the code

Als je dan toch het liedje volgt, dan wel zoals het gaat he

MrDummy 28 maart 2018 12:41

Fijn he, ene gaatje dichtmaken en dan springt opeens andere gaatje open.
Net of je lekkende waterleiding probeert dicht te maken die zelf beetje broos en zwak is. Heb je lek eindelijk dicht, springt er verderop eentje open.
Dat is balen als een stekker.

Het is wel bekende beeld voor programmeurs, bugs oplossen is niet altijd perfect. Door aanpassen van code kan het goed lopen, maar kan alsnog ergens een opening ontstaan of lekkage. Het is niet bekend of MS bug testen ook controleert via andere test methodes om te kijken of niet ergens nieuwe bug ontstaat.

Goed voorbeeld zijn de videodrivers. We weten dat AMD en Nvidia best doet om driver performance goed eruit te persen. Maar hierdoor kan na code aanpassing paar issues ontstaan. Programmeren is nog steeds menselijk werk. Je kan niet makkelijk op alle fronten in de gaten houden. We zien dan ook steeds nieuwe versies uitkomen in de bepaalde regelmaat...

CriticalHit_NL 28 maart 2018 14:01

En om dit soort berichten had ik sinds Januari besloten de OS-gerelateerde patches voor meltdown/spectre maar niet te installeren en eerst de kat uit de boom te kijken of het überhaupt wel doet wat het adverteert.
Het zijn ingrijpende wijzigingen die voor stabiliteit / performance of zoals nu nog extra beveiligingslekken kan zorgen, het is ook allemaal erg gehaast uitgebracht, dat vertrouwde ik persoonlijk niet, dat blijkt wel weer.

Ik acht persoonlijk de stabiliteit en performance van de machine boven een lekje die een enorm kleine kans heeft uitgerekend jou te raken, maar het moet wel opgelost worden.

Zie verder overigens ook geen extra bios varianten voor de Sabertooth X79, maar zelfs dan zou ik ze niet installeren omdat het omzeep helpen van stabiliteit on hardware niveau mij een tikkeltje te ver gaat, zit nu nog de originele bios op uit 2012 en is perfect stabiel.

[Reactie gewijzigd door CriticalHit_NL op 23 juli 2024 22:10]

Titan_Fox 28 maart 2018 11:16

Bij Linux Mint wordt er een simpele microcode patch meegeleverd. Indien je de vorige patch al had geactiveerd via 'Extra Stuurprogramma's' zal ze simpelweg via apt(-get) of de dagelijkse updateronde worden bijgewerkt. Kunt ze indien gewenst ook makkelijk uitschakelen indien de microcode voor meer problemen zorgt dan ze oplost.

Windows daarentegen is echt een gedrocht qua patch- en updatebeleid...

[Reactie gewijzigd door Titan_Fox op 23 juli 2024 22:10]

RJWvdH @Titan_Fox • 28 maart 2018 12:10

Die microcode geldt inderdaad voor de Spectre patch, maar niet voor Meltdown...daar heb je nog steeds een software update voor nodig

Dennism @RJWvdH • 28 maart 2018 13:06

En voor Spectre ook, zowel onder Linux als Windows (en andere OSén) is Spectre niet op te lossen met alleen een microcode update. Om Spectre te patchen heb je een microcode update nodig en software updates. Voor Meltdown inderdaad software updates.

Mitsuko @Dennism • 28 maart 2018 17:47

Microsoft werkt trouwens wel aan die microcode update: KB4090007. Tot nu toe nog niet voor de oudste gepatchte processoren (Sandy Bridge en Ivy Bridge), daarvoor zal je op het moment nog een BIOS update moeten uitvoeren of gebruik maken van de VMWare driver.

Dennism @Mitsuko • 28 maart 2018 18:30

Dat klopt, maar zelfs dan moet je de patch voor de microcode hebben en de cumulatieve patch van 2018-1 of later voor jouw betreffende OS versie (2018-03 uiteraard aanbevolen, zeker gezien bovenstaande). In het geval van de server OS'en is zelfs de installatie van een microcode update en de cumulatieve Windows OS updates niet voldoende om out of the box beschermd te zijn, maar moet je ook zelf nog de mitigations activeren via het register ( https://support.microsoft.com/en-us/help/4072698 )

Sandor_Clegane 28 maart 2018 11:01

Het is toch ook wat. Het begint redelijk dramatisch te worden met die patches op patches.

ToolBee @Sandor_Clegane • 28 maart 2018 13:17

Als je een pleister over een andere pleister heenplakt blijft die meestal ook niet goed zitten.

darkfader @Sandor_Clegane • 28 maart 2018 17:45

Dat geldt precies zo voor feature updates (O.S. bijv.). Alleen blijven daar de issues langer open

Op dit item kan niet meer gereageerd worden.

Bugfix voor Meltdown leidde bij Windows 7 en Server 2008 R2 tot nog groter lek

Lees meer

Reacties (59)

Sorteer op:

Weergave: