Drucken

180104 IT-Sicherheit - Meltdown/Spectre

180104 IT-Sicherheit - Meltdown/Spectre

180104 IT-Sicherheit - Meltdown/Spectre

 

 

 

 

 

 

 

 

Seit dem 03. Januar 2018 ist die Welt alles andere außer in Feierlaune. Das neue Jahr hat für die Computerbranche eine dunkle Bedrohung parat: Spectre und Meltdown

 

Durch die bestehenden Schwachstellen in der zentralen Recheneinheit eines Geräts, dem Prozessor, ist es einem Angreifer möglich, Zugriff auf auf dem Computer gespeicherte Daten jeglicher Art zu nehmen. Dies betrifft Benutzernamen, Passwörter gleichwie Urlaubsfotos und persönliche Texte wie Rechnungen und Kontoauszüge.

 

Jedes Smartphone und Tablet, jeder Computer, Server und jedes Notebook ist potentiell von diesen Schwachstellen betroffen – unabhängig von Betriebssystem und Antivirenlösung. Und wir helfen Ihnen!

 

Wir bieten Ihnen:

  • Prüfung des Geräts (Smartphone, Tablet, Computer, Notebook, Server), ob es von den Sicherheitslücken betroffen ist und ob verfügbare Software-Patches installiert sind

  • Planung und Erklärung der möglichen Lösungen

  • Umsetzen der Lösungsmöglichkeiten

  • 1-zu-1 Schulung zum sicheren Umgang im Internet

Auch interessant:

 

 

Im Weiteren finden Sie Informationen, die wir für Sie zusammengetragen haben:

 

Jann Horn aus dem „Project Zero team“ bei Google veröffentlichte auf der eigenen blogspot Seite weitreichende Informationen zu neuen Schwachstellen von Prozessoren. „Wir haben entdeckt, dass die Zeitliche Abstimmung des Datencaching von Prozessoren missbraucht werden kann, um effizient Informationen aus fehlerhaft geglaubten Berechnungen zu leaken [...].“ Diverse Varianten seien laut Horn bekannt und betreffen verschiedene Prozessoren der Hersteller Intel, AMD und ARM. Für einige wenige Prozessormodelle der Herstellerfirmen wurden durch das Team funktionierende Exploits erstellt. Diese Schwachstellen wurden am 01.06.2017 Intel, AMD und ARM mitgeteilt.

 

Es gibt drei Varianten. In der Mitteilung aus dem Juni 2017 wurde von den Varianten 1 und 2 berichtet:

 

Variante 1 und 2 werden mit dem Codenamen Spectre bezeichnet, Variante 3 mit dem Codenamen Meltdown.

 

Ursache für Spectre und Meltdown ist eine Eigenheit der Funktionsweise der Prozessoren. Um eine Leistungssteigerung für den Nutzer zu bieten, bedient sich ein Prozessor der so genannten „speculative execution“ (engl. für: Spekulative Ausführung). Hier wird versucht, die als nächstes benötigten Berechnungen auszuführen, bevor diese gebraucht werden. Wenn die Berechnungen dann abgerufen werden, sind diese bereits passiert und stehen als Ergebnis zur Verfügung. Dieses Vorgehen lässt den Prozessor nach außen hin als „schneller arbeitend“ wirken. Sollte eine andere Berechnung benötigt werden, so arbeitet der Prozessor normal weiter.

 

Diese Technik kann von Schadsoftware genutzt werden, um auf Daten zuzugreifen. Diese Daten können je nach Umgebung und aktuell ausgeführter Software Benutzernamen, Passwörter und Sicherheitsschlüssel, aber auch Urlaubsbilder oder wichtige Dokumente sein.

 

Da sich die Schwachstelle innerhalb des Prozessors des Geräts befindet, sind alle Geräte betroffen, in denen ein Prozessor der Hersteller Intel, AMD oder ARM verbaut sind. Beispielsweise fallen darunter Computer und Server, aber auch Netzwerkspeicher (NAS-Systeme), manche IP-Kameras, verschiedene Router, Raspberry Pis u.v.m..

 

 

Im Folgenden werden auf Grundlage der wissenschaftlichen Paper Spectre und Meltdown vereinfacht erklärt:

 

Bei Spectre wird versucht, die spekulative Ausführung zu missbrauchen und Werte aus dem Speicher auszulesen. Genauer gesagt beginnt ein Angreifer eine Sequenz von Befehlen innerhalb des Prozessorspeichers zu speichern. Diese Befehle sorgen sobald sie ausgeführt werden dafür, dass weitere Inhalte des Prozessorspeichers oder des Prozessorregisters durch einen Übertragungsweg gesendet werden. Anschließend bringt der Angreifer durch ausführende Befehle den Prozessor dazu, dass er spekulativ den Speicherbereich zur Aktivierung des Übertragungswegs ausführt. Sobald dieser Übertragungsweg aktiv ist, erhält der Angreifer die durch den Prozessor berechneten Ergebnisse.

 

Variante 3 hat Googles Project Zero in der letzten Jahreshälfte 2017 entdeckt. Meltdown basiert auf folgendem: Durch eine Schadsoftware kann der Angreifer versuchen, auf einen geschützten Speicherbereich zuzugreifen. So ein Speicherzugriff wird fehlschlagen. Nutzt ein Angreifer die Schwachstelle Meltdown aus, so hat er die Möglichkeit, durch einen side-channel fehlerhafte Speicherzugriffe aus dem Cache auszulesen.

 

Bin ich wirklich betroffen?

Technisch gesehen sind alle Prozessoren betroffen, die die spekulative Berechnung unterstützen. Im Folgenden werden veröffentlichte Stellungnahmen aufgeführt, die zum aktuellen Stand dieser Information verfügbar waren. Folgende Hersteller von Prozessoren bzw. verschiedenen Endgeräten wie Smartphones, Computer und deren Betriebssystemen äußerten sich bereits. Wir haben nach Verfügbarkeit die Informationen aktualisiert:

 

Wichtiges Update vom 15. Januar 2018 um 08:00 Uhr:

Vorsicht! Das BSI (Bundesamt für Sicherheit i. d. Informationstechnik) warnt aktuell vor Spam-Mails in Verbindung mit den Sicherheitslücken Spectre und Meltdown! Das BSI versendet keine eMails dieser Art. Löschen Sie diese eMails ohne auf einen enthaltenen Link o.ä. zu klicken. Kontaktieren Sie im Zweifelsfall unseren 24/7 Support! Sie können Ihre Angaben machen und sich durch einen unserer Techniker zurückrufen lassen.

 

 

Intel

Intel veröffentlichte am 3. Januar 2018 eine Meldung, dass „Intel und andere Technologiekonzerne auf neue Sicherheitsforschungen aufmerksam gemacht wurden, welche Methoden beschreiben, [...], die das Potential haben, sensible Daten von Computern und Geräten zu sammeln [...].“ Aus der am 4. Januar 2018 veröffentlichten Mitteilung geht hervor, dass Intel bis jetzt bereits Updates für die Mehrheit der in den letzten fünf Jahren veröffentlichten Prozessoren auf den Weg gebracht hat. Intel erwartet bis zum Ende der zweiten Kalenderwoche 2018 für mehr als 90 Prozent der Prozessoren der letzten fünf Jahre Updates veröffentlicht zu haben. Zu verschiedenen Pressemitteilungen und Befürchtungen von Experten, solche Updates können zu Minderungen der Leistungsfähigkeit der betroffenen Prozessoren führen, veröffentlichte Intel Meldungen von Apple, Microsoft, Amazon und Google. Alle vier Konzerne gaben an, dass u.a bereits veröffentlichte Updates aus dem Dezember 2017 nach ersten Erkenntnissen keine oder nur verschwindend geringe Leistungseinbußen nach sich ziehen. Eine Differenzierung zwischen Meltdown und Spectre erfolgte nach aktuellen Kenntnisstand nicht. Ebenso waren zum Entstehungszeitpunkt keine Informationen erhältlich, welche Prozessoren bereits mit Updates versorgt wurden und welche nicht.

 

Update vom 05. Januar 2018 um 18:00 Uhr:

Intel veröffentlichte eine Liste der betroffenen Prozessoren. Enthalten sind alle Prozessoren und Prozessorfamilien der letzten 10 Jahre bis auf wenige Ausnahmen. Es wird aktuell davon ausgegangen, dass jedes System mit einem Intel-Prozessor mit der Schwachstelle behaftet ist. Im Folgenden ein Auszug aus der Liste:

  • Intel® Core™ i3/i5/i7/M Processor (45nm and 32nm)
  • 2nd, 3rd, 4th, 5th, 6th, 7th, 8th generation Intel® Core™ Processors
  • Intel® Core™ X-series Processor Family for Intel® X99/X299 platforms
  • Intel® Xeon® Processor 3400/3600/5500/5600/6500/7500 series
  • Intel® Xeon® Processor E3 v1/v2/v3/v4/v5/v6 Family
  • Intel® Xeon® Processor E5 v1/v2/v3/v4 Family
  • Intel® Xeon® Processor E7 v1/v2/v3/v4 Family
  • Intel® Xeon® Processor Scalable Family
  • Intel® Xeon Phi™ Processor 3200/5200/7200 series
  • Intel® Atom™ Processor C/E/A/x3/Z Series
  • Intel® Celeron® Processor J/N Series
  • Intel® Pentium® Processor J/N Series

Seit dem 04. Januar testete Techspot parallel die Auswirkung verschiedener Patches auf die Leistung der Prozessoren. Quintessenz ist, dass für den normalen Benutzer wohl keine äußerlichen Erscheinungen erkennbar sein sollen. Sobald es jedoch um 4K-Gaming oder CAD-Berechnungen geht, sind die Leistungseinbußen erkennbar.

 

Update vom 11. Januar 2018 um 12:30 Uhr:

Navin Shenoy von Intel veröffentlichte eine Mitteilung, dass Intel Broadwell und Haswell CPUs nach der Installation Neustartprobleme verursachen. An einer Lösung wird gearbeitet.

 

Update vom 22. Januar 2018 um 18:00 Uhr:

In einem Blogeintrag auf der Intel-Homepage warnt Navin Shenoy jetzt vor der Installation der durch Intel veröffentlichten Updates. Im Mikrocode des Updates seien wohl Fehler enthalten, die zu unvorhergesehenen Abstürzen oder anderem Verhalten führen.

 

AMD

Die Veröffentlichung „An Update on AMD Processor Security“ von AMD befasst sich konkret mit den drei Schwachstellen und den hauseigenen Prozessoren. AMD gibt an, dass Variante eins durch Software- und Betriebssystemupdates gelöst werden. Es wird nicht erwartet, dass die Performance der Prozessoren dadurch sinkt. Variante zwei wurde laut AMD noch nicht auf einem AMD Prozessor nachgewiesen. Die Möglichkeit dieser Variante ist „nahe 0“. Variante drei ist aufgrund des Architekturunterschieds im Vergleich mit Intel nicht nutzbar.

 

Update vom 08. Januar 2018 um 16:00 Uhr:

AMD hat statt Variante drei eine eigene Sicherheitslücke bekommen. Schuld ist laut Cfir Cohen (Google Cloud Security Team) eine Komponente namens AMD PSP (Platform Security Processor). Ein Angirff kann hierbei über das TPM-Modul erfolgen. Der eingeschleuste Code wird in den Platform Security Processor geladen und dort zur Ausführung gebracht. Da der Platform Security Processor als Sicherheitskomponente entworfen wurde, arbeitet dieser mit einem eigenen Betriebssystem, welches direkt auf dem Chip installiert ist. Die Ausführung des Codes zieht dann alle Nachwirkungen nach sich. Updates werden in naher Zukunft verfügbar gemacht.

 

Microsoft

Microsoft veröffentlichte am 03. Januar 2018 das Update KB4056892 bezüglich der Schwachstellen Meltdown und Spectre. Das Update bezieht sich auf die Versionen Windows Server Core Version 1709 (mit Update KB4056892), Windows Server 2016 (mit Update KB4056890), Windows Server 2012 R2 (KB4056898), Windows Server 2008 R2 (mit Update KB4056897) sowie Windows 10 in den Versionen RTM, 1511, 1607, 1703 und 1709 Windows 8.1 und Windows 7 mit Service Pack 1 mit jeweils verschiedenen Updatebezeichnungen. Die Updates lassen sich allerdings nur dann installieren, wenn die verwendete Antivirenlösung diese Installation zulässt bzw. die Vorbereitungen für diese getroffen hat. Im Detail geht es um einen Registry-Schlüssel, welcher durch die verwendete Antivirenlösung gesetzt werden muss.

Hinweis: Kaspersky hat bereits im Dezember die Vorbereitungen für alle Versionen getroffen und umgesetzt. Zum aktuellen Stand sind alle Versionen mit aktiver Lizenz und aktuellen Datenbanken von Kaspersky mit dem Update von Microsoft kompatibel.

 

Update vom 30. Januar 2018 um 09:30 Uhr:

Microsoft hat sich entschlossen, die Updates bzgl. Variante 2 der Sicherheitslücke zu deaktivieren, bis Intel das Problem innerhalb des Mikrocodes gelöst hat. Das Update wird abweichend von den üblichen Patchdays zur Verfügung gestellt.

 

 

Apple

Apple differenziert zwischen Meltdown und Spectre in deren Mitteilung vom 4. Januar. Es wird Meltdown betreffend angegeben, dass für die Betriebssysteme iOS 11.2 (iPhone, iPad) , macOS 10.13.2 (iMac, MacBook) und tvOS 11.2 (Apple TV) bereits im Dezember 2017 die entsprechend notwendigen Updates veröffentlicht wurden. Ein Update für watchOS (Apple Watch) wurde von Apple als nicht notwendig eingestuft. Eine messbare Reduzierung der Leistung konnte nicht festgestellt werden. Im Bezug auf Meltdown bedeutet dies, dass Geräte mit einer älteren als der angegebene Betriebssystemversion nach wie vor verwundbar sind. Bezüglich Spectre gibt Apple an, dass die Schwachstelle nur sehr schwer nutzbar sei. Zeitgleich wird eingeräumt, dass eine Nutzung durch einen Webbrowser ausgeführtes JavaScript denkbar ist. Hierfür wird Apple ein Update für den hauseigenen Browser Safari veröffentlichen. Das Update wird für die Betriebssysteme macOS und iOS verfügbar sein. Im Gegensatz zu der Meldung von Intel wird hier angegeben, dass die Reduzierung der Leistung durch das Update messbar sei, jedoch auch, dass die Leistungsreduzierung unter 2,5% liegt. Weitere Updates bezüglich Spectre werden mit den kommenden Updates für iOS, macOS, tvOS und watchOS veröffentlicht.

 

 

Raspberry Pi - Update vom 08. Januar 2018 um 08:00 Uhr:

Raspberrypi.org veröffentlichte am vergangenen Wochenende, dass die Scheckkarten-Computer nicht von der Sicherheitslücke betroffen sind. Dies geht aus der mit einem Beispiel versehenen Erklärung hervor.

 

 

Android

Im „Android Security Bulletin—January 2018“ wird gleich zu Beginn des Berichts angegeben, dass mit einem Security Patch Level vom 05.01.2018 oder später alle Vorkommnisse bearbeitet werden. Alle Android-Partner (Samsung, Google usw.) wurden laut dem Bulletin mindestens einen Monat vor Veröffentlichung der Sicherheitslücken Spectre und Meltdown daraufhin gewiesen.

 

Update vom 30. Januar 2018 um 09:30 Uhr:

Bezüglich Updates für Androidgeräte bestehen verfügbare Informationen hauptsächlich aus Vermutungen. Sicher ist: Nicht alle Geräte mit einem Android-Betriebssystem werden Updates erhalten. Nach wie vor gilt, dass mit einem "Security Patch Level" vom 05.01.2018 oder neuer die Geräte mit einem Update gegen diese Sicherheitslücken versorgt sind/werden. Viele Android Geräte werden diesen Updatestand jedoch nicht erhalten. Die Neuanschaffung eines Geräts ist hier die einzige Möglichkeit, Sicherheit zu gewährleisten.

 

Max Huber - IT-Security Specialist bei CosH Computersystemevon Max Huber

 

zum Autor:
Wirtschaftsinformatiker B.Sc.
Fachinformatiker für Systemintegration
IT-Security Specialist bei CosH Computersysteme