Sicherheitslücken gibt es ausgesprochen viele und das vor allem schon seit Anbeginn der IT-Geschichte. Die meisten solcher Lücken lassen sich durch einfache Software-Updates oder eben Aktualisierungen des Betriebssystems beheben, andere erfordern die Installation von Zusatz-Software und so weiter und so fort. Bei Meltdown und Spectre verhält es sich allerdings ein klein wenig anders. Hier wird nicht einfach Software genutzt, um Angriffe zu ermöglichen. Hier greift der Angreifer direkt über Chipsätze des anzugreifenden Computers auf Daten zu, was sehr schwer zu verhindern ist.
Drei Angriffsvarianten existieren
Es konnte herausgefunden werden, dass es insgesamt drei Angriffsmethoden geben soll. Spectre selbst wird in zwei (CVE-2017-5753 und CVE-2017-5715) Angriffsvarianten unterteilt, Meltdown (CVE-2017-5754) bildet die dritte Möglichkeit. Alle drei Angriffsvarianten haben gemeinsam, dass sie einem Prozess mit ganz normalen Benutzerrechten ermöglichen können, Lesezugriffe auf Speicherinformationen durchzuführen, von denen der Benutzer des Computers nichts weiß, geschweige denn es autorisiert hätte. In diesen ausgelesenen Speicherinformationen können Passwörter des Benutzers oder andere Daten enthalten sein, die Angreifern sehr viel Fläche bieten können, um dem Benutzer noch mehr zu schaden. Wie Meltdown quasi live Informationen aus einzelnen Speichereinträgen ausliest, zeigt das nachstehende Video:
Das Problem ist aktuell, dass es leider nicht reicht, einen einzigen Patch für alle entdeckten Lücken zu entwickeln und zu verteilen. Vielmehr müssen nun sehr viele Hersteller und Entwickler Hand in Hand arbeiten, um allen drei Angriffsvarianten Herr zu werden. Google gehört beispielsweise zu den Unternehmen, die immer wieder versuchen, die Nutzer zu sensibilisieren und ihnen (wie wir hier) zu erläutern, was es alles mit der aktuellen Problematik auf sich hat.
Was dazu notwendig ist, dass Meltdown und Spectre von einem Angreifer gegen euer System eingesetzt werden, hat Caschy in diesem Artikel bereits sehr gut erklären können. Meltdown schnüffelt über bösartige, bereits auf dem Rechner vorhandene Software, in eurem Speicher herum und kann dort Daten und Informationen auslesen. Betroffen sind Computer mit Intel-Prozessoren von 1995 oder jünger. Vorläufig sollen entsprechende Patches ausreichen, um die Lücke zu schließen, allerdings wird hier und da von allerlei Leistungseinbußen berichtet:
Today I learned, that the definition of "Not Impacting Performance in Real-World Deployments" doesn't include Workstation duty on a Workstation CPU. 39% Increase on an i7 5820K when building Android. At least be honest when you fuck up @intel! pic.twitter.com/NRu1VrLoqQ
— Christian Oder (@Myself5_) January 5, 2018
Hier scheint der Unterschied des Leistungsverlusts zwischen den entsprechenden Einsatzgebieten arg zu schwanken. Einige Gaming-Benchmarks lassen nämlich verlauten, dass so gut wie gar keine Einschränkungen zu verzeichnen sind, nachdem entsprechende Patches ausgebracht wurden. Andererseits habe beispielsweise der Entwickler des noch recht neuen Games Fortnite aktuell mit allerlei Login-Problemen auf Userseite zu kämpfen, nachdem einer der Hosts mit einem Meltdown-adressierten Patch aktualisiert wurde. Hier entscheidet am Ende wohl oder übel der Anwendungsfall.
Die beiden Angriffsvarianten von Spectre sind im Gegensatz zu Meltdown dann doch ein wenig penetranter und vor allem noch mehr interessiert an euren Daten. Hier werden nicht nur einzelne Speicherbereiche ausgelesen, Spectre kann komplette Datensätze ganzer Programme über andere Programme ausspionieren und weiterleiten.Hiervon betroffen sind Smartphones, Notebooks, Desktop-Rechner und auch die Cloud – im Grunde alles, wo irgendwie ein betroffener Prozessor von Intel, AMD oder ARM im Hintergrund werkelt.
Wie geschützt sind wir denn nun inzwischen?
Google informiert, dass man bereits seit Juni 2017 an zahlreichen Lösungen arbeiten würde. Quasi ab dem Zeitpunkt als das erste Mal Notiz von den genannten Lücken genommen wurde.
So sollen sämtliche Google-Apps und -Dienste bereits mit entsprechenden Maßnahmen bedacht worden sein und auch die Google Cloud sei gegen alle bekannten Angriffsvarianten abgesichert worden. Da Google die volle Kontrolle über die bestehende Infrastruktur des Unternehmens – von der Hardware bis hin zur Sicherheits-Software – hat, sei man dort nicht nur gegen Variante 1, sondern auch Variante 2 von Spectre geschützt. Außerdem gehe man davon aus, dass man nicht nur bei Google, sondern auch bald bei vielen weiteren Unternehmen Lösungen gefunden haben wird, wie notwendige Sicherheitspatches eine nur sehr geringe bis gar keine negative Auswirkung mehr auf das zu schützende System haben.
Hier findet ihr unter anderem entsprechende Informationen anderer Unternehmen, inwieweit man dort mit den nötigen Sicherheitsvorkehrungen vorangeschritten ist:
| Intel | Security Advisory / Newsroom |
|---|---|
| Microsoft | Security Guidance |
| Amazon | Security Bulletin |
| ARM | Security Update |
| Project Zero Blog | |
| MITRE | CVE-2017-5715 / CVE-2017-5753 / CVE-2017-5754 |
| Red Hat | Vulnerability Response |
Viele wichtige Informationen erhält man sonst vor allem auch auf der speziell dafür eingerichteten Spectre- und Meltdown-Infoseite.
In den letzten Tagen war immer wieder zu vernehmen, dass die meisten adressierten Unternehmen (u.a. Apple, Intel oder Microsoft) inzwischen unter Hochdruck an sicheren Lösungen arbeiten oder diese bereits verteilt haben. Außerdem wird der Verbraucher derzeit immer wieder mit dem Worten beruhigt, dass aktuell keine gesicherten Informationen vorliegen würden, dass die aufgedeckten Lücken jemals für einen erfolgreichen Angriff gesorgt hätten. Hier darf sicherlich jeder zu denken, was er mag…
Meltdown und Spectre sind wahrlich keine kleinen Lücken und könnten unter den richtigen Umständen für allerlei Probleme sorgen. Dennoch sind alle betroffenen Unternehmen, Hersteller und Entwickler aktuell damit beschäftigt, zusammen für schnelle Abhilfe zu sorgen, damit kein Verbraucher oder Unternehmen wirklich Schaden dadurch erleiden muss. Und wir werden euch parallel regelmäßig auf dem Laufenden halten, wie ihr euch dahingehend schützen könnt.
Mozilla Firefox 57.0.4: Bugfix-Release gegen Meltdown und Spectre
Microsoft Surface: Firmware-Updates gegen Meltdown und Spectre werden verteilt
Meltdown & Spectre: macOS, tvOS & iOS bereits mit abschwächenden Updates ausgestattet
Intel: Updates für 90% aller Prozessoren der letzten 5 Jahre sollen Meltdown und Spectre stoppen
Meltdown & Spectre: Microsoft auch mit Update und Informationen zu Windows 7 und 8.1
Google Chrome vor Meltdown und Spectre absichern
Meltdown und Spectre: Prozessor-Sicherheitslücken betreffen fast alle