2018.01-1

einfach lesen

Das neue Jahr startet mit bislang unbekannten Sicherheitslücken in modernen Prozessoren.

Kritische Sicherheitslücken

MELTDOWN & SPECTRE

Was ist das Problem?

Ein Exploit wird zum Aufzeigen einer Sicherheitslücke entwickelt und dokumentiert. Damit soll erreicht werden, dass Systemhersteller eine Sicherheitslücke schneller erkennen und schließen können.

Mit Meltdown und Spectre wurden bereits Mitte 2017 unterschiedliche Exploits entwickelt und dokumentiert, die Sicherheitslücken von Intel, AMD und ARM Prozessoren aufzeigen. Anhand von drei Angriffsszenarien wird gezeigt, wie es möglich ist, sich Zugang zu Passwörtern, Krypto-Schlüsseln oder Informationen aus Programmen zu verschaffen – auch aus geschützten Speicherbereichen. Denn die Sicherheitslücken bedeuten laut Michael Schwarz (ein an der Entdeckung beteiligter Forscher der TU Graz): „Wir können alles lesen, was sie eintippen“.

Gefährlich wird es immer dann, wenn Exploits an die Öffentlichkeit gelangen. Denn die detaillierte Beschreibung ist quasi ein Blue Print für Schadsoftware. Und die Erfahrung der vergangenen Fälle zeigt: Neue Schadsoftware auf Basis von veröffentlichten Exploits kommt extrem schnell in Umlauf.

2018.01.Wafer 952

Der technische Hintergrund

Eine detaillierte Beschreibung des technischen Hintergrunds bieten die Papiere der TU Graz (Hyperlinks siehe unten). Die beteiligten Forscher haben die Sicherheitslücken unter anderem entdeckt und auch die Angriffsszenarien dokumentiert.

Vereinfacht nutzt Meltdown eine Sicherheitslücke, die unprivilegierten Prozessen (also auch ganz normalen Benutzern) das Lesen von Kernel-Memory und das Ausbrechen aus virtuellen Maschinen erlaubt. Wie Meltdown nutzt auch Spectre aus, dass moderne Prozessoren aus Performance-Gründen viele Instruktionen spekulativ im Voraus berechnen (speculative execution), liest diese aber auf einem anderen Weg aus.

Während das in Meltdown zum Einsatz kommende Verfahren durch Anpassungen auf Betriebssystemebene unterbunden werden kann, sind für Maßnahmen gegen die Spectre-Verfahren auch Anpassungen auf Ebene der Anwendungen und im Microcode der Prozessoren notwendig.

Nach aktuellem Stand muss durch diese Eingriffe von Leistungseinbußen ausgegangen werden. Die aktuell kommunizierten Werte schwanken je nach Anwendungsfall sehr stark zwischen 5 und 30 Prozent. Besonders betroffen hiervon sind Anwendungen, die sehr intensiv mit dem Betriebssystem zusammenarbeiten, indem sie viele Festplatten- und Netzwerkvorgänge durchführen. Das gilt insbesondere in virtuellen Umgebungen.


Wer oder was ist betroffen?

Da es sich um Sicherheitslücken in der Hardware-Ebene handelt, ist jedes Computersystem betroffen, in dem ein entsprechender Prozessor verwendet wird - unabhängig von Hypervisor, Betriebssystem oder Anwendung. Das gilt für alle Desktop-PCs, Notebooks und Serversysteme. Ebenso sind auch Mobiltelefone betroffen.

Die in Meltdown und Spectre beschriebenen drei unterschiedlichen Angriffsszenarien führen zu komplizierten Situationen. Vereinfacht: Nach aktuellen Informationen sind alle Intel-Prozessoren seit 1995 mit Ausnahme Itanium und Atom von Meltdown betroffen, ebenso einige ARM-Prozessoren. Spectre betrifft ebenfalls Prozessoren von Intel und ARM, zusätzlich aber auch AMD-Prozessoren.


Wie ernst sind die Sicherheitslücken?

Der Ernst der Lage lässt sich am besten beurteilen, wenn man die aktuellen Reaktionen der großen Software Hersteller betrachtet. Einerseits wurden seit der Entdeckung der Sicherheitslücken Mitte 2017 bereits zahlreiche Patches entwickelt und zum Teil auch schon ohne Wissen der Öffentlichkeit ausgerollt.

Durch das frühzeitige Durchsickern der Sicherheitslücken werden aktuell aber auch Notfall-Updates entwickelt und veröffentlicht, um damit Schadsoftware rechtzeitig einen Riegel vorzuschieben. Ein prominentes Beispiel: Microsoft aktualisiert noch vor dem für Januar anstehenden Patch-Day den Windows 10-Kernel via Windows Update.

Meltdown und Spectre können prinzipiell dazu verwendet werden weitere Angriffe gegen Hypervisoren wie VMware vSphere und Hyper-V durchzuführen. Dadurch wird es böswilligen Benutzern erleichtert aus ihren virtuellen Maschinen auszubrechen und vor allem virtualisierte Umgebungen sind stark gefährdet.

Auch wenn nach aktuellem Stand nicht klar ist, ob die entdeckten Sicherheitslücken bereits ausgenutzt wurden – diese außergewöhnlichen Maßnahmen zeigen deutlich die Ernsthaftigkeit des Problems.


Kann mein Antivirus einen Exploit erkennen?

Meltdown und Spectre verhalten sich nicht wie eine übliche Malware. Dadurch ist eine Erkennung zwar theoretisch möglich, Stand heute praktisch aber wahrscheinlich nicht umsetzbar. Die Antiviruslösung könnte jedoch eine Malware erkennen, welche die Exploits in die Systeme einbringt und ausführen möchte. Aktuell ist nicht bekannt, ob Meltdown oder Spectre bereits für Angriffe genutzt werden.


Welche Lösung gibt es?

Um die Sicherheitslücken in den Prozessoren weitgehend zu schließen, sind sowohl Updates für Hypervisor, Betriebssystem und Anwendungen als auch von den Hardwareherstellern nötig.

Hypervisor-, Betriebssystem- und Anwendungsanbieter und Cloud-Dienst-Provider entwickeln bereits Updates, um alle Exploit-Varianten mit Gegenmaßnahmen anzusprechen. Diese sind zum Teil auch schon umgesetzt oder sollen so schnell wie möglich veröffentlicht werden. Auch auf Seiten der Hardwarehersteller gibt man sich optimistisch. So geht Intel davon aus, dass noch im Januar mehr als 90 Prozent aller in den vergangenen fünf Jahren erschienen CPUs ein entsprechendes Update bekommen.

Inwiefern diese Gegenmaßnahmen einen dauerhaften Schutz gegen die Expoits darstellen, kann abschließend nicht beurteilt werden. Experten gehen davon aus, dass zur vollständigen Beseitigung der Sicherheitslücken die betroffenen Prozessoren ausgetauscht werden müssen.

Auf jeden Fall sind aber regelmäßige Updates Ihrer Systeme in Zukunft noch wichtiger als bisher.


Handlungsempfehlung

Aktuell wird an vielen Stellen eine wahre Update-Panik verbreitet. Richtig ist, dass ein zeitnahes Einspielen der angebotenen Updates notwendig ist. Falsch ist ein unüberlegtes Einspielen von Updates und Security Patches. Denn es gibt viele Abhängigkeiten, die berücksichtigt werden müssen.

Einfaches Beispiel: Drittanbieter hatten kaum Möglichkeiten ihre Anwendungen an Notfall-Updates anzupassen. So warnt Microsoft ausdrücklich, vorab die eingesetzte Antivirus Software auf Kompatibilität mit den aktualisierten Betriebssystemen zu prüfen, da die Kerneländerungen am Betriebssystem im Zusammenspiel mit Antiviruslösungen zu zum Teil massiven Problemen führen können.

Um die unterschiedlichen Sicherheitslücken zu schließen, sind aber Eingriffe in unterschiedlichen Bereichen und in unterschiedlichen Ebenen Ihrer IT-Infrastruktur notwendig. Im Bereich Workplace betrifft das die Aktualisierung von BIOS, Firmware, Betriebssystem und Anwendungen. Im Bereich Data Center ist zusätzlich die Aktualisierung der Hypervisoren notwendig.

Zwischen jeder dieser Ebenen gibt es Abhängigkeiten, die geprüft werden müssen. Ganz besonders gilt das für die Installation von Patches auf Ihrer VMware oder Hyper-V/Spaces Direct Umgebung.

Hier stehen unsere Experten gerne mit Rat und Tat zur Seite. Auch unser Security Team steht Ihnen für Fragen gerne zur Verfügung.

WordPress Theme built by Shufflehound. © 2019 abtis GmbH