Sicherheitslücken Spectre & Meltdown – gefährlicher als 007
Spectre und Meltdown sind keine James Bond Filmtitel, sondern Sicherheitslücken, die derzeit das Top-Thema in der IT-Sicherheit sind.
Die Sicherheitslücken befinden sich im Prozessor des Computers (CPU). Eine Ausnutzung dieser Sicherheitslücken ermöglicht Dritten den Zugriff auf die im Speicher liegenden Informationen wie Browserinhalte, Bilder, E-Mails sowie geschäftskritische Daten und Passwörter. Zudem ist auch der Zugriff zwischen virtuellen Maschinen (VM) übergreifend möglich. Das bedeutet, dass aus einer VM heraus entweder auf den darunterliegenden Hardwarehost oder eine parallel laufende virtuelle Maschine zugegriffen werden kann. Dies stellt besonders für Anbieter von Clouddiensten ein großes Problem dar.
Derzeit sind so gut wie alle Systeme betroffen, die Intel, AMD oder ARM Prozessoren nutzen. Dazu gehören unter anderem Server, Desktop-PCs, Laptops, Cloudservices und Smartphones (Android, iOS).
„Wen kann ein Angriff treffen?
Fast jeden!“
Was steckt hinter Meltdown und Spectre?
Die Sicherheitslücke Meltdown entsteht bei der sogenannten Out-of-Order-Execution, bei der der Prozessor Befehle umsortiert und diese somit in einer anderen Reihenfolge als vorgegeben durchführt, da er den nächsten Schritt schon vorhersieht und durch die Umsortierung die Performance optimiert. Die vorgezogenen Daten liegen dann im sogenannten Cache. Genau an dieser Stelle können die Daten bei einem Angriff abgegriffen werden.
Spectre entsteht bei der spekulativen Ausführung von Befehlen. Dabei führt der Prozessor Befehle, die erst im nächsten Schritt ausgeführt werden sollten, vorgezogen aus, um Prozesse zu beschleunigen. Diese Daten werden hierfür im Cache vorgehalten und können an dieser Stelle von Dritten verwendet werden.
Um den Angriff auf die Daten im Cache durchzuführen, müssen Angreifer genau wissen, wie jeder unterschiedliche Prozessor arbeitet. Erst dann können sie die Befehle entsprechend umprogrammieren.
Wie gehen Angreifer vor?
Physikalische Umgebung:
Um die Schwachstellen bei physikalischen Maschinen auszunutzen, benötigt der Angreifer direkten Zugriff auf das System. Bevor die Schwachstelle ausgenutzt werden kann, muss also über einen Angriffsweg Zugriff auf das System erlangt werden.
Virtuelle Umgebung:
Im Bereich der virtualisierten Umgebungen verhält es sich anders, hier reicht es aus, wenn eine der VMs auf dem Host kompromittiert wird. Auf Grund der Schwachstelle, ist es somit möglich Zugriff auf parallel laufende virtuelle Maschinen zu erhalten.
Die Schwachstelle betrifft so gut wie alle Cloudprovider welche Intel CPUs einsetzten. Sei es im Umfeld der Hardware-Virtualisierung (VMware, Hyper-V, Xen) oder der Container-Virtualisierung (Docker, LXC oder OpenVZ)
„Es gibt derzeit keine Möglichkeit,
Angriffe über die Sicherheitslücken
zu erkennen.“
„Halten Sie Ihre Systeme immer auf dem aktuellsten Stand.“
Angriffen vorbeugen
Um sich gegen ungeahnte Angriffe zu wehren, können derzeit nur einige Hotfixes für die gängigen Systeme durchgeführt werden:
VMware: Offizielle Erklärung des Herstellers
Windows: Offizielle Erklärung des Herstellers
Linux: Upgrade auf die aktuellste Version des Betriebssystems durchführen. Ziehen Sie hierfür die Dokumentation der entsprechenden Distribution zu Rate.
Apple Produkte: Durch das Systemupdate der Smartphones auf iOS 11.2.2 kann die Sicherheitslücke nun geschlossen werden. Macs können seit dem Update auf macOS 10.13.2 Angriffe abwehren. Dies gilt jedoch nur für den eigenen Browser Safari, über alle anderen Browser können Angriffe immer noch nicht abgewehrt werden.
Auf Grund der Art und Weise wie durch den Hotfix die Speicherzugriffe eingeschränkt werden, kann es zu Leistungseinbußen zwischen 5% und 50% kommen. Einbußen werden jedoch kaum bemerkbar sein und sollten auf alle Fälle kein Grund sein, Updates nicht durchzuführen!
Betroffene Systeme
Betriebssysteme: (Dies gilt sowohl für die Server und Desktops, als auch für Mobiltelefone.) Windows, Linux, ChromeOS, Android, Apple Betriebssysteme macOS, tvOS und iOS. Des Weiteren sind die Browser Firefox, Google Chrome, Microsoft Edge und Internet Explorer betroffen.
Grundsätzlich sind alle Bereiche betroffen, die mit dem Internet kommunizieren, unter anderem auch E-Mail-Programme oder Passwort-Manager.
ITler helfen ITlern
Beim Ausführen des Hotfixes für Microsoft gilt es zu beachten, dass dieser eine Unterstützung von möglichen 3rd Party Antivirus-Lösungen voraussetzt.
Dies kann der aktuellen Liste von Kevin Beaumont entnommen werden. Innerhalb der Liste finden sich unter anderem folgende Informationen:
- „Supported“ = Hotfix wird vom Hersteller unterstützt. (Y/N)
- „Set registry Key“ = Definiert, ob der zur Installation des Windows Hotfixes nötige Registry Key gesetzt wird.
Relevanter Registry Key:
RegKey=“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat“
Value Name=“cadca5fe-87d3-4b96-b7fb-a231484277cc“
Type=“REG_DWORD“
Data=“0x00000000″
Fazit
Im Moment können Angriffe nur erschwert, jedoch nicht vollständig verhindert werden.
Dennoch gibt es Vorkehrungen, die getroffen werden können:
Halten Sie Ihre Systeme und Programme immer auf dem neuesten Stand, indem Sie überall das neueste Update installieren und informieren Sie sich, wenn es neue Versionen gibt. Mit Hilfe eines IT-Dienstleisters, der alle Updates systemübergreifend für Sie durchführt und Sie automatisch informiert, wenn es eine Aktualisierung gibt, sind Sie auf der „sicheren“ Seite und müssen sich nicht einmal darum kümmern.
PS: Immer schön den Cache leeren!