Meltdown und Spectre: Prozessor-Sicherheitslücken betreffen fast alle

4. Januar 2018 Kategorie: Backup & Security, geschrieben von:

Das Jahr ist noch so jung und dennoch gibt es schon so krasse Sicherheitslücken, über die berichtet werden muss. Das gibt nicht gerade Mut für den Rest von 2018. Am 3. Januar berichteten wir über eine Sicherheitslücke, die offenbar in Intel-Prozessoren steckt. Sie soll es Angreifern erlauben, zufällige Speicherbereiche des Prozessors auszulesen. Nun – es ist wesentlich schlimmer als viele vermutet haben. Bezeichnungen, die wir in den nächsten Tagen sehr häufig lesen werden: Meltdown und Spectre.

Ein Mitarbeiter an Googles Sicherheitsprojekt Zero demonstrierte die Lücke bereits und zeigte auf, wie man an Passwörter und weitere Informationen aus Programmen auslesen konnte.

Um diese Sicherheitslücke auszunutzen, muss ein Angreifer zunächst in der Lage sein, bösartigen Code auf dem Zielsystem auszuführen.

Die Forscher des Project Zero entdeckten insgesamt drei Angriffsmethoden. Alle drei Angriffsvarianten können es einem Prozess mit normalen Benutzerrechten ermöglichen, nicht autorisierte Lesezugriffe auf Speicherdaten durchzuführen, die sensible Informationen wie Passwörter, kryptographisches Schlüsselmaterial usw. enthalten können.

Es gibt laut Google keinen einzigen Fix für alle drei Angriffsvarianten; jede benötigt einen eigenen Schutz. Viele Hersteller stellen Patches für einen oder mehrere dieser Angriffe zur Verfügung.

Meltdown

Meltdown ist dabei die Intel-Geschichte, die bösartige Software auf den Speicher zugreifen lässt und so das Auslesen von Daten aus geöffneten Programmen und der Betriebssystemebene erlaubt. Hiervon sind fast alle Prozessoren von Intel seit 1995 anfällig. Wie wir bereits berichteten: Das Ganze kann man mit einem Software-Patch erst einmal stopfen, soll aber für eine Performance-Bremse sorgen. Angeblich sollen laut Intel die Berichte nicht stimmen, in denen von 30 Prozent Einbußen geredet wird. Es sollen rund zwei Prozent sein.

Spectre

Schlimmer liest sich Spectre. Dieser Angriff erfordert einen hohen Aufwand und setzt dementsprechende Expertenwissen voraus. Allerdings soll es hier komplizierter sein, sich davor zu schützen. Spectre erlaubt es direkt, dass Programme andere Programme ausspionieren und somit auch die komplette Datenweitergabe (Passwörter aus Passwort-Managern z.B.) an Angreifer. Betroffen sind nicht nur Computer mit Intel-Prozessoren, sondern quasi alles. Die Cloud, Noteboooks, Rechner und auch Smartphones. Betroffen sind Prozessoren von Intel, ARM und AMD.

Laut Google habe man, als man von den Lücken erfuhr, die Systeme aktualisiert, um die Nutzer zu schützen. Man habe auch mit Hardware- und Softwareherstellern aus der ganzen Branche zusammengearbeitet, um Benutzer und das Internet zu schützen. Zu diesen Bemühungen gehörte die gemeinsame Analyse und die Entwicklung von Maßnahmen gegen Angriffsmöglichkeiten.

Eigentlich wollte man bis zum 9. Januar mit der Offenlegung warten, allerdings sei das Risiko mittlerweile zu groß geworden, da die Lücke schon recht bekannt wurde in der Zwischenzeit.

Google sagt, dass die meisten eigenen Produkte sicher sind. Android-Smartphones mit dem Patch „Android 2018-01-05 Security Patch Level“ sollen erst einmal sicher sein. Überraschung: Den haben nur extrem wenige. Zukünftige Android-Sicherheitsupdates werden zusätzliche Maßnahmen beinhalten. Chromecast, Home und Google WiFi seien nicht betroffen, Chrome 64 solle am 23. Januar veröffentlicht werden und soll die Angriffsmöglichkeiten abschwächen, so beschreibt es Google. Hier gab man an, dass man in zukünftigen Versionen noch mal ran müsse.

Fragen und Antworten zu Meltdown und Spectre:

Bin ich von der Lücke betroffen?
Mit großer Wahrscheinlichkeit, ja.

Kann ich feststellen, ob jemand Meltdown oder Spectre gegen mich ausgenutzt hat?
Wahrscheinlich nicht. Der Angriff hinterlässt nach jetzigem Kenntnisstand keine Spuren in traditionellen Logfiles.

Kann mein Antivirus diesen Angriff erkennen oder blockieren?
Theoretisch, in der Praxis aber unwahrscheinlich. Im Gegensatz zu gewöhnlicher Malware sind Meltdown und Spectre schwer von normalen Anwendungen zu unterscheiden. Ein Antivirus-Programm könnte aber Malware erkennen, die die Angriffe nutzt, indem es Binärdateien vergleicht, nachdem sie bekannt geworden sind.

Was kann an Daten erbeutet werden?
Wenn euer System betroffen ist, kann ein Exploit den Speicherinhalt eures Computers auslesen. Dazu können Passwörter und sensible Daten gehören, die auf dem System gespeichert sind.

Wurde Meltdown oder Spectre in der freien Wildbahn gesichtet und wird von Angreifern eingesetzt?
Weiss man nicht.

Wo kann ich Informationen zu Patches und Informationen anderer Unternehmen finden?

Intel  Security Advisory    /     Newsroom
Microsoft  Security Guidance
Amazon  Security Bulletin
ARM  Security Update
Google  Project Zero Blog
MITRE  CVE-2017-5715   /    CVE-2017-5753    /     CVE-2017-5754
Red Hat  Vulnerability Response

Linux und macOS haben bereits verschiedene Patches erhalten, um die Auswirkungen dieser Sicherheitslücken abzumildern, während Microsoft heute früh einen Notfall-Patch für seine Betriebssysteme veröffentlicht hat. Leider kann die CPU-Performance jedoch – wie bereits erwähnt – durch den Patch beeinträchtigt werden, insbesondere bei älteren Prozessoren.

Hier gibt es die Updates für Windows 10

Microsoft schreibt:

„Wir sind uns dieser branchenweiten Problematik bewusst und arbeiten eng mit den Chipherstellern zusammen, um vorläufige Lösungen zum Schutz unserer Kunden zu entwickeln und zu testen. Wir sind dabei, die vorläufige Lösungen in Cloud-Dienste zu implementieren und haben außerdem Sicherheitsupdates veröffentlicht, um Windows-Kunden vor Schwachstellen zu schützen, die unterstützte Hardware-Chips von Intel, ARM und AMD betreffen. Wir haben keine Informationen erhalten, die darauf hindeuten, dass diese Sicherheitslücken genutzt wurden, um unsere Kunden anzugreifen.“

Weiterführende Links:

Googles Blogpost

Spectre- und Meltdown-Infoseite (woher auch Fragen & Antworten stammen)

Mozilla Security Blog bestätigt Web-Lücke

Sobald sich dahingehend noch was ergibt oder bewegt, werden wir hier noch informieren.

 


Über den Autor:

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Carsten hat bereits 25752 Artikel geschrieben.