Meltdown und Spectre: Prozessor-Sicherheitslücken betreffen fast alle

Das Jahr ist noch so jung und dennoch gibt es schon so krasse Sicherheitslücken, über die berichtet werden muss. Das gibt nicht gerade Mut für den Rest von 2018. Am 3. Januar berichteten wir über eine Sicherheitslücke, die offenbar in Intel-Prozessoren steckt. Sie soll es Angreifern erlauben, zufällige Speicherbereiche des Prozessors auszulesen. Nun – es ist wesentlich schlimmer als viele vermutet haben. Bezeichnungen, die wir in den nächsten Tagen sehr häufig lesen werden: Meltdown und Spectre.

Ein Mitarbeiter an Googles Sicherheitsprojekt Zero demonstrierte die Lücke bereits und zeigte auf, wie man an Passwörter und weitere Informationen aus Programmen auslesen konnte.

Um diese Sicherheitslücke auszunutzen, muss ein Angreifer zunächst in der Lage sein, bösartigen Code auf dem Zielsystem auszuführen.

Die Forscher des Project Zero entdeckten insgesamt drei Angriffsmethoden. Alle drei Angriffsvarianten können es einem Prozess mit normalen Benutzerrechten ermöglichen, nicht autorisierte Lesezugriffe auf Speicherdaten durchzuführen, die sensible Informationen wie Passwörter, kryptographisches Schlüsselmaterial usw. enthalten können.

Es gibt laut Google keinen einzigen Fix für alle drei Angriffsvarianten; jede benötigt einen eigenen Schutz. Viele Hersteller stellen Patches für einen oder mehrere dieser Angriffe zur Verfügung.

Meltdown

Meltdown ist dabei die Intel-Geschichte, die bösartige Software auf den Speicher zugreifen lässt und so das Auslesen von Daten aus geöffneten Programmen und der Betriebssystemebene erlaubt. Hiervon sind fast alle Prozessoren von Intel seit 1995 anfällig. Wie wir bereits berichteten: Das Ganze kann man mit einem Software-Patch erst einmal stopfen, soll aber für eine Performance-Bremse sorgen. Angeblich sollen laut Intel die Berichte nicht stimmen, in denen von 30 Prozent Einbußen geredet wird. Es sollen rund zwei Prozent sein.

Spectre

Schlimmer liest sich Spectre. Dieser Angriff erfordert einen hohen Aufwand und setzt dementsprechende Expertenwissen voraus. Allerdings soll es hier komplizierter sein, sich davor zu schützen. Spectre erlaubt es direkt, dass Programme andere Programme ausspionieren und somit auch die komplette Datenweitergabe (Passwörter aus Passwort-Managern z.B.) an Angreifer. Betroffen sind nicht nur Computer mit Intel-Prozessoren, sondern quasi alles. Die Cloud, Noteboooks, Rechner und auch Smartphones. Betroffen sind Prozessoren von Intel, ARM und AMD.

Laut Google habe man, als man von den Lücken erfuhr, die Systeme aktualisiert, um die Nutzer zu schützen. Man habe auch mit Hardware- und Softwareherstellern aus der ganzen Branche zusammengearbeitet, um Benutzer und das Internet zu schützen. Zu diesen Bemühungen gehörte die gemeinsame Analyse und die Entwicklung von Maßnahmen gegen Angriffsmöglichkeiten.

Eigentlich wollte man bis zum 9. Januar mit der Offenlegung warten, allerdings sei das Risiko mittlerweile zu groß geworden, da die Lücke schon recht bekannt wurde in der Zwischenzeit.

Google sagt, dass die meisten eigenen Produkte sicher sind. Android-Smartphones mit dem Patch „Android 2018-01-05 Security Patch Level“ sollen erst einmal sicher sein. Überraschung: Den haben nur extrem wenige. Zukünftige Android-Sicherheitsupdates werden zusätzliche Maßnahmen beinhalten. Chromecast, Home und Google WiFi seien nicht betroffen, Chrome 64 solle am 23. Januar veröffentlicht werden und soll die Angriffsmöglichkeiten abschwächen, so beschreibt es Google. Hier gab man an, dass man in zukünftigen Versionen noch mal ran müsse.

Fragen und Antworten zu Meltdown und Spectre:

Bin ich von der Lücke betroffen?
Mit großer Wahrscheinlichkeit, ja.

Kann ich feststellen, ob jemand Meltdown oder Spectre gegen mich ausgenutzt hat?
Wahrscheinlich nicht. Der Angriff hinterlässt nach jetzigem Kenntnisstand keine Spuren in traditionellen Logfiles.

Kann mein Antivirus diesen Angriff erkennen oder blockieren?
Theoretisch, in der Praxis aber unwahrscheinlich. Im Gegensatz zu gewöhnlicher Malware sind Meltdown und Spectre schwer von normalen Anwendungen zu unterscheiden. Ein Antivirus-Programm könnte aber Malware erkennen, die die Angriffe nutzt, indem es Binärdateien vergleicht, nachdem sie bekannt geworden sind.

Was kann an Daten erbeutet werden?
Wenn euer System betroffen ist, kann ein Exploit den Speicherinhalt eures Computers auslesen. Dazu können Passwörter und sensible Daten gehören, die auf dem System gespeichert sind.

Wurde Meltdown oder Spectre in der freien Wildbahn gesichtet und wird von Angreifern eingesetzt?
Weiss man nicht.

Wo kann ich Informationen zu Patches und Informationen anderer Unternehmen finden?

Intel  Security Advisory    /     Newsroom
Microsoft  Security Guidance
Amazon  Security Bulletin
ARM  Security Update
Google  Project Zero Blog
MITRE  CVE-2017-5715   /    CVE-2017-5753    /     CVE-2017-5754
Red Hat  Vulnerability Response

Linux und macOS haben bereits verschiedene Patches erhalten, um die Auswirkungen dieser Sicherheitslücken abzumildern, während Microsoft heute früh einen Notfall-Patch für seine Betriebssysteme veröffentlicht hat. Leider kann die CPU-Performance jedoch – wie bereits erwähnt – durch den Patch beeinträchtigt werden, insbesondere bei älteren Prozessoren.

Hier gibt es die Updates für Windows 10

Microsoft schreibt:

„Wir sind uns dieser branchenweiten Problematik bewusst und arbeiten eng mit den Chipherstellern zusammen, um vorläufige Lösungen zum Schutz unserer Kunden zu entwickeln und zu testen. Wir sind dabei, die vorläufige Lösungen in Cloud-Dienste zu implementieren und haben außerdem Sicherheitsupdates veröffentlicht, um Windows-Kunden vor Schwachstellen zu schützen, die unterstützte Hardware-Chips von Intel, ARM und AMD betreffen. Wir haben keine Informationen erhalten, die darauf hindeuten, dass diese Sicherheitslücken genutzt wurden, um unsere Kunden anzugreifen.“

Weiterführende Links:

Googles Blogpost

Spectre- und Meltdown-Infoseite (woher auch Fragen & Antworten stammen)

Mozilla Security Blog bestätigt Web-Lücke

Sobald sich dahingehend noch was ergibt oder bewegt, werden wir hier noch informieren.

 

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

30 Kommentare

  1. Vielen Dank für den Link Caschy. Scheint ja wirklich alles zu sein.

  2. Alles sehr seltsam. Eine gewaltige Lücke die quasi seit 1995 besteht und noch nie ausgenutzt wurde, da stimmt doch etwas nicht. Wurde da die NSA Hintertür entdeckt oder ist das ein Marketing-Gag um den mauen Hardwareverkauf zu fördern?
    Wie auch immer, viele befürchten nun das die eignen Rechner geplündert werden, das größere Problem werden aber die Maschinen bei den Hostern sein. VServer dürften doch nun ein interessent es Ziel sein.

  3. @OnkelWu auch wenn es nicht übermäßig häufig vorkommt, aber es kommt vor, dass uralte Sicherheitslücken gefunden werden. War doch erst vor einem Jahr oder so, dass eine uralte UNIX-Lücke gefunden wurde oder so. Es gab vermutlich immer genügend andere, dass sie einfach niemandem wirklich aufgefallen ist. Denn wirklich interessant dürfte sie erst seit ASLR sein, da es die Speicherverwürfelung umgeht.

  4. differenzierter artikel mit der nötigen ruhe und angenehmen tldr passagen. tiptiop! deswegen lese ich den blog seit jahren.

  5. Naja, die Hardware hat einen Konstruktionsfehler. Wie sieht es mit Schadenersatz aus?

  6. Sri Syadasti says:

    Die Problematik mit den Timern ist nun nicht gerade neu: https://bugs.chromium.org/p/chromium/issues/detail?id=508166

    Damals wurde vorgeschlagen sie nur noch nach Benutzerbestätigung freizugeben, aber das ist bekanntlich nie passiert. Langfristig hätte es auch wenig geholfen, weil SharedArrayBuffer unter JS schon reicht.

    Wer eins der FF-Abkömmlinge nutzt, sollte tunlichst schauen, ob javascript.options.shared_memory auf „false“ steht. Beim aktuellem Waterfox ist das per default auf „true“

  7. @Paul äußerst unwahrscheinlich. Wenn es ein absichtlicher Fehler wäre möglich. Andernfalls dürften nichtmal Firmen und Großabnehmer Schadensersatz geltend machen können. Ich wüßte zumindest nicht auf welcher Basis das geschehen sollte, da dadurch ein Unternehmen ja auch nicht ruiniert werden kann. Und wenn es alleine bei Intel jeder Prozessor seit 1995 ist, würden auch ihre Mrd dahinschmelzen.

  8. @Saujunge (auch wenn’s jetzt schon länger her ist, war unterwegs): Ich bezog/beziehe mich nur auf die Infos aus dem Info/Frage Link unten im Artikel.

  9. Wie ist das denn jetzt mit den Prozessoren von AMD?

    Oben schreibt ihr „Betroffen sind Prozessoren von Intel, ARM und AMD.“

    AMD selbst scheint da aber anderer Meinung zu sein:
    „Bounds Check Bypass: Resolved by software / OS updates to be made available by system vendors and manufacturers. Negligible performance impact expected.

    Branch Target Injection: Differences in AMD architecture mean there is a near zero risk of exploitation of this variant. Vulnerability to Variant 2 has not been demonstrated on AMD processors to date.

    Rogue Data Cache Load: Zero AMD vulnerability due to AMD architecture differences.“
    (https://www.amd.com/en/corporate/speculative-execution)

  10. Du schreibst bei Spectre, dass „Programme auf andere Programme zugreifen können“. Hast du dazu eine Quelle?

    In anderen Quellen habe ich die Info gefunden, dass bei Spectre „nur“ innerhalb desselben Programms zugegriffen werden kann. Also zum Beispiel im Browser via Javascript auf den Cache des Browsers, aber eben nicht vom Browser auf ein anderes Programm zum Beispiel ein Passworttool (eigenständiges Programm nicht die im Browser enthaltene).

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.