Geavanceerde Mac-gebruikers die zich in een bijzonder sterke vijandige bedreigingsomgeving bevinden, kunnen de behoefte voelen om volledige beperking van de kwetsbaarheid van de Intel MDS-processor op hun Mac-computers (en pc's trouwens) in te schakelen. MDS staat voor Microarchitectural Data Sampling (MDS), in de volksmond "Zombieload" genoemd, en is in feite een kwetsbaarheid in de eigenlijke Intel-processor zelf die er in theorie toe zou kunnen leiden dat een aanvaller toegang krijgt tot gevoelige gegevens op elke getroffen Intel-computer, Mac of pc.(Als je het beveiligingsnieuws goed volgt, lijkt de kwetsbaarheid van Zombieload op de beveiligingsfouten Spectre en Meltdown vorig jaar).

Hoewel Apple beveiligingspatches heeft toegepast op macOS Mojave 10.14.5 en Beveiligingsupdate 2019-003 voor High Sierra en Sierra die problemen zouden moeten helpen voorkomen voor de meeste Mac-gebruikers, werken andere Mac-gebruikers met een ongewoon verhoogde beveiliging risico-omgevingen kunnen de behoefte voelen om verder te gaan en volledige beperking van MDS/Zombieload mogelijk te maken.

Om volledige beperking van de Intel MDS-kwetsbaarheid mogelijk te maken, moet hyperthreading op de CPU zelf worden uitgeschakeld, wat kan resulteren in een prestatievermindering van ongeveer 40% op de machine. Dat is duidelijk een behoorlijk serieuze prestatiehit, en daarom zou de overgrote meerderheid van de mensen zich hier niet mee bezig moeten houden, aangezien de overgrote meerderheid van de mensen zich ook niet in een omgeving met beveiligingsbedreigingen bevindt die hen in gevaar zou brengen om het doelwit te worden van dit soort kwetsbaarheid.

Desalniettemin, als je je vooral zorgen maakt over de Zombieload / MDS-aanvalsvector op een Mac met een Intel CPU, bespreken we hieronder hoe je de aanval volledig kunt afweren.

Volledige beperking van Zombieload / MDS inschakelen op Intel Macs

Onthoud dat om volledige aanpassing voor MDS / Zombieload op een Mac mogelijk te maken, je CPU-hyperthreading moet uitschakelen, wat resulteert in een serieuze prestatiehit. De overgrote meerderheid van Mac-gebruikers zou zich hier niet mee bezig moeten houden.

Let op: op de Mac moet MacOS Mojave, macSO Sierra, MacOS High Sierra of nieuwer worden uitgevoerd.

1. Installeer eerst MacOS Mojave 10.14.5, of Beveiligingsupdate 2019 voor High Sierra, of Beveiligingsupdate 2019 voor Sierra (of later) op de Mac
2. Ga naar het  Apple-menu en kies "Opnieuw opstarten" om de Mac opnieuw op te starten
3. Houd onmiddellijk Command+R ingedrukt bij het opnieuw opstarten om de Mac op te starten in herstelmodus
4. Wanneer u bij het scherm Hulpprogramma's komt, opent u het menu "Hulpprogramma's" in de menubalk en kiest u "Terminal"
5. Typ de volgende opdracht en druk op Return
"

nvram boot-args=cwae=2"

6. Typ vervolgens de volgende opdracht en druk nogmaals op Return:

nvram SMTDisable=%01

7. Ga naar het  Apple-menu en kies "Opnieuw opstarten" om de Mac opnieuw op te starten

Deze aanwijzingen voor volledige beperking komen rechtstreeks van Apple.

Hoe volledige MDS-beperking terug te draaien en hyperthreading op Mac in te schakelen

Als u volledige beperking van Zombieload / MDS wilt terugdraaien en hyper-threading op de CPU opnieuw wilt inschakelen, moet u de Mac NVRAM / PRAM resetten om de gedefinieerde nvram-wijziging die in de volledige verzachting. Dit is hetzelfde op alle Mac-modellen:

• Sluit de Mac af
• Zet de Mac aan en houd vervolgens onmiddellijk de toetsen COMMAND OPTION P R tegelijk ingedrukt
• Houd de toetsen COMMAND OPTION P R tegelijkertijd ongeveer 20 seconden ingedrukt en laat dan los
• Laat de toetsen los na het horen van het tweede opstartgeluid (op Macs die het opstartgeluid afspelen), of na het zien van het Apple-logo (Macs met de T2-chip)

De Mac start nu op zoals gewoonlijk met de NVRAM-reset, hyper-threading weer ingeschakeld en volledige beperking van MDS is niet meer aanwezig.

Je kunt NVRAM-variabelen ook bekijken op een Mac vanaf de opdrachtregel als je niet zeker weet wat er is ingesteld.

Let op: als u een firmwarewachtwoord gebruikt, moet u dat mogelijk tijdelijk uitschakelen voordat u het NVRAM effectief kunt resetten.

Wat is MDS / Zombieload eigenlijk?

Voor wat meer achtergrondinformatie over MDS / Zombieload en het mitigatieproces, kun je het ondersteuningsartikel van Apple raadplegen waarin het MDS-risico en de volledige mitigatie als volgt worden beschreven:

Bovendien omvat het inschakelen van volledige beperking het uitschakelen van hyperthreading op de Intel CPU, wat de prestaties drastisch kan verminderen. Apple omschrijft dit als volgt:

Misschien ben je ook geïnteresseerd in meer informatie over Microarchitectural Data Sampling (MDS) rechtstreeks van Intel hier op Intel.com.

Een andere bron van informatie over Zombieload / MDS is de officiële Zombieload Attack-onthullingswebsite hier, gemaakt door de onderzoekers die het beveiligingslek hebben gevonden. De onderstaande video van die beveiligingsonderzoekers demonstreert een Zombieload-aanval die wordt gebruikt om informatie te verzamelen van een gerichte machine, ondanks het gebruik van TOR in een virtuele machine (een serieuze beveiliging!).

Nogmaals, de meerderheid van de Mac- (en pc-)gebruikers hoeft zich niet al te veel zorgen te maken over deze beveiligingsproblemen en hoeft zich waarschijnlijk niet bezig te houden met volledige beperking door hyperthreading uit te schakelen. Het eenvoudigweg installeren van macOS Mojave 10.14.5 en de relevante beveiligingsupdate 2019-003 voor High Sierra en/of Sierra helpt potentiële risico's voor de meeste Mac-gebruikers af te wenden. En zoals altijd, zorg ervoor dat je nooit schetsmatige of niet-vertrouwde software installeert, want dat zou ook aanzienlijk moeten helpen, aangezien bijna al dit soort kwetsbaarheden in de eerste plaats afhankelijk zijn van een of andere vorm van malware.