Meltdown und Spectre: Die letzten Tage zusammengefasst

7. Januar 2018 Kategorie: Backup & Security, Google, geschrieben von:

Nun hört man seit Tagen in den Medien kaum noch etwas anderes als die beiden Begriffe Meltdown und Spectre und immer wieder, dass mittlerweile zahlreiche Unternehmen zu beruhigen versuchen und bereits erste Patches verteilt oder angekündigt haben, die die Sicherheitslücken zumindest in Teilen abdichten sollen. Doch auch wenn man noch so oft davon hört, dem einen oder anderen ist noch immer nicht ganz klar, was die beiden besagten Angriffe eigentlich tun, wo sie her kommen und was man gegen sie tun kann.

Sicherheitslücken gibt es ausgesprochen viele und das vor allem schon seit Anbeginn der IT-Geschichte. Die meisten solcher Lücken lassen sich durch einfache Software-Updates oder eben Aktualisierungen des Betriebssystems beheben, andere erfordern die Installation von Zusatz-Software und so weiter und so fort. Bei Meltdown und Spectre verhält es sich allerdings ein klein wenig anders. Hier wird nicht einfach Software genutzt, um Angriffe zu ermöglichen. Hier greift der Angreifer direkt über Chipsätze des anzugreifenden Computers auf Daten zu, was sehr schwer zu verhindern ist.

Drei Angriffsvarianten existieren

 

Es konnte herausgefunden werden, dass es insgesamt drei Angriffsmethoden geben soll. Spectre selbst wird in zwei (CVE-2017-5753 und CVE-2017-5715) Angriffsvarianten unterteilt, Meltdown (CVE-2017-5754) bildet die dritte Möglichkeit. Alle drei Angriffsvarianten haben gemeinsam, dass sie einem Prozess mit ganz normalen Benutzerrechten ermöglichen können, Lesezugriffe auf Speicherinformationen durchzuführen, von denen der Benutzer des Computers nichts weiß, geschweige denn es autorisiert hätte. In diesen ausgelesenen Speicherinformationen können Passwörter des Benutzers oder andere Daten enthalten sein, die Angreifern sehr viel Fläche bieten können, um dem Benutzer noch mehr zu schaden. Wie Meltdown quasi live Informationen aus einzelnen Speichereinträgen ausliest, zeigt das nachstehende Video:

Das Problem ist aktuell, dass es leider nicht reicht, einen einzigen Patch für alle entdeckten Lücken zu entwickeln und zu verteilen. Vielmehr müssen nun sehr viele Hersteller und Entwickler Hand in Hand arbeiten, um allen drei Angriffsvarianten Herr zu werden. Google gehört beispielsweise zu den Unternehmen, die immer wieder versuchen, die Nutzer zu sensibilisieren und ihnen (wie wir hier) zu erläutern, was es alles mit der aktuellen Problematik auf sich hat.

Was dazu notwendig ist, dass Meltdown und Spectre von einem Angreifer gegen euer System eingesetzt werden, hat Caschy in diesem Artikel bereits sehr gut erklären können. Meltdown schnüffelt über bösartige, bereits auf dem Rechner vorhandene Software, in eurem Speicher herum und kann dort Daten und Informationen auslesen. Betroffen sind Computer mit Intel-Prozessoren von 1995 oder jünger. Vorläufig sollen entsprechende Patches ausreichen, um die Lücke zu schließen, allerdings wird hier und da von allerlei Leistungseinbußen berichtet:

Hier scheint der Unterschied des Leistungsverlusts zwischen den entsprechenden Einsatzgebieten arg zu schwanken. Einige Gaming-Benchmarks lassen nämlich verlauten, dass so gut wie gar keine Einschränkungen zu verzeichnen sind, nachdem entsprechende Patches ausgebracht wurden. Andererseits habe beispielsweise der Entwickler des noch recht neuen Games Fortnite aktuell mit allerlei Login-Problemen auf Userseite zu kämpfen, nachdem einer der Hosts mit einem Meltdown-adressierten Patch aktualisiert wurde. Hier entscheidet am Ende wohl oder übel der Anwendungsfall.

Die beiden Angriffsvarianten von Spectre sind im Gegensatz zu Meltdown dann doch ein wenig penetranter und vor allem noch mehr interessiert an euren Daten. Hier werden nicht nur einzelne Speicherbereiche ausgelesen, Spectre kann komplette Datensätze ganzer Programme über andere Programme ausspionieren und weiterleiten.Hiervon betroffen sind Smartphones, Notebooks, Desktop-Rechner und auch die Cloud – im Grunde alles, wo irgendwie ein betroffener Prozessor von Intel, AMD oder ARM im Hintergrund werkelt.

Wie geschützt sind wir denn nun inzwischen?

Google informiert, dass man bereits seit Juni 2017 an zahlreichen Lösungen arbeiten würde. Quasi ab dem Zeitpunkt als das erste Mal Notiz von den genannten Lücken genommen wurde.

So sollen sämtliche Google-Apps und -Dienste bereits mit entsprechenden Maßnahmen bedacht worden sein und auch die Google Cloud sei gegen alle bekannten Angriffsvarianten abgesichert worden. Da Google die volle Kontrolle über die bestehende Infrastruktur des Unternehmens – von der Hardware bis hin zur Sicherheits-Software – hat, sei man dort nicht nur gegen Variante 1, sondern auch Variante 2 von Spectre geschützt. Außerdem gehe man davon aus, dass man nicht nur bei Google, sondern auch bald bei vielen weiteren Unternehmen Lösungen gefunden haben wird, wie notwendige Sicherheitspatches eine nur sehr geringe bis gar keine negative Auswirkung mehr auf das zu schützende System haben.

Hier findet ihr unter anderem entsprechende Informationen anderer Unternehmen, inwieweit man dort mit den nötigen Sicherheitsvorkehrungen vorangeschritten ist:

Intel  Security Advisory    /     Newsroom
Microsoft  Security Guidance
Amazon  Security Bulletin
ARM  Security Update
Google  Project Zero Blog
MITRE  CVE-2017-5715   /    CVE-2017-5753    /     CVE-2017-5754
Red Hat  Vulnerability Response

Viele wichtige Informationen erhält man sonst vor allem auch auf der speziell dafür eingerichteten Spectre- und Meltdown-Infoseite.

In den letzten Tagen war immer wieder zu vernehmen, dass die meisten adressierten Unternehmen (u.a. Apple, Intel oder Microsoft) inzwischen unter Hochdruck an sicheren Lösungen arbeiten oder diese bereits verteilt haben. Außerdem wird der Verbraucher derzeit immer wieder mit dem Worten beruhigt, dass aktuell keine gesicherten Informationen vorliegen würden, dass die aufgedeckten Lücken jemals für einen erfolgreichen Angriff gesorgt hätten. Hier darf sicherlich jeder zu denken, was er mag…

Meltdown und Spectre sind wahrlich keine kleinen Lücken und könnten unter den richtigen Umständen für allerlei Probleme sorgen. Dennoch sind alle betroffenen Unternehmen, Hersteller und Entwickler aktuell damit beschäftigt, zusammen für schnelle Abhilfe zu sorgen, damit kein Verbraucher oder Unternehmen wirklich Schaden dadurch erleiden muss. Und wir werden euch parallel regelmäßig auf dem Laufenden halten, wie ihr euch dahingehend schützen könnt.

Mozilla Firefox 57.0.4: Bugfix-Release gegen Meltdown und Spectre

Microsoft Surface: Firmware-Updates gegen Meltdown und Spectre werden verteilt

Meltdown & Spectre: macOS, tvOS & iOS bereits mit abschwächenden Updates ausgestattet

Intel: Updates für 90% aller Prozessoren der letzten 5 Jahre sollen Meltdown und Spectre stoppen

Meltdown & Spectre: Microsoft auch mit Update und Informationen zu Windows 7 und 8.1

Google Chrome vor Meltdown und Spectre absichern

Meltdown und Spectre: Prozessor-Sicherheitslücken betreffen fast alle

Sicherheits-Update: Portable Firefox 57.0.4


Über den Autor:

Blogger, stolzer Ehemann und passionierter Dad aus dem Geestland. Quasi-Nachbar vom Caschy (ob er mag oder nicht ;D ), mit iOS und Android gleichermaßen glücklich und außerdem zu finden auf Twitter und Google+. PayPal-Kaffeespende an den Autor. Mail: benjamin@caschys.blog

Benjamin hat bereits 1133 Artikel geschrieben.