Hertzbleed
Hertzbleed of de Hertzbleed aanval is de naam van een theoretische aanval op moderne x86 computerprocessoren van onder andere Intel en AMD, waarbij informatie geëxtraheerd kan worden uit processorkernen.[1][2] De aanval beschrijft hoe informatie over de kloksnelheden en energiemodi kennis kan vrijgeven over de inhoud van lopende processen op de computer, zoals cryptografie.[3] De aanval kan zo ingezet worden om cryptografiesleutels "uit te lezen" door processen die normaliter geen toegang zouden kunnen krijgen tot deze data. CVE-nummers CVE-2022-23823[4] en CVE-2022-24436[5] zijn toegewezen aan de aanval.
De aanval is op 14 juni 2022 gepubliceerd door beveiligingsonderzoekers Yinchen Wang, Riccardo Paccagnella, Elizabeth Tang He, Havav Shacham, Christopher Fletcher en David Kohlbrenner via een speciaal in het leven geroepen website en logo. De onderzoekers hebben een paper[6] gepubliceerd die gepland staat om uit te komen in de 31e editie van de USENIX Security Symposium. Daarnaast is er een Proof-of-Concept gepubliceerd die een aanval op het SIKE-algoritme om beveiligingssleutels te extraheren.
De aanval is in het derde kwartaal van 2021 gedeeld met hardware- en softwarefabrikanten Intel, Cloudflare en Microsoft en later ook met AMD, waarna deze voortijdig hun infrastructuur hebben kunnen voorzien van patches en maatregelen.
Externe link
[bewerken | brontekst bewerken]- Officiële website waarop de aanval gepubliceerd is door beveiligingsonderzoekers
Zie ook
[bewerken | brontekst bewerken]- Heartbleed - Een beveiligingslek in een populaire SSL-softwarebibliotheek.
- ↑ (en) Hertzbleed Attack. www.hertzbleed.com (14 juni 2022). Gearchiveerd op 15 juni 2022. Geraadpleegd op 15 juni 2022.
- ↑ Niels Breen, Hertzbleed-aanval kan cryptografische sleutels stelen van Intel- en AMD-CPU's. Hardware Info (15 juni 2022). Geraadpleegd op 15 juni 2022.
- ↑ (en) Sergiu Gatlan, New Hertzbleed side-channel attack affects Intel, AMD CPUs. BleepingComputer (14 juni 2022). Gearchiveerd op 14 juni 2022. Geraadpleegd op 15 juni 2022.
- ↑ (en) CVE - CVE-2022-23823. CVE. cve.mitre.org. Gearchiveerd op 15 juni 2022. Geraadpleegd op 15 juni 2022.
- ↑ (en) CVE - CVE-2022-24436. CVE. cve.mitre.org. Gearchiveerd op 15 juni 2022. Geraadpleegd op 15 juni 2022.
- ↑ (en) Yinchen Wang, Riccardo Paccagnella, Elizabeth Tang He, Hovav Shacham, Chistopher W. Fletcher, David Kohlbrenner, Hertzbleed: Turning Power Side-Channel Attacks Into Remote Timing Attacks on x86 (pdf). Hertzbleed (14 juni 2022). Gearchiveerd op 15 juni 2022. Geraadpleegd op 15 juni 2022.