XING

Jetzt auf Xing empfehlen!

Teilen


Callback Service

Informationen zu den Sicherheitslücken Spectre und Meltdown


Welche Auswirkung haben die Lücken?

Vereinfacht ausgedrückt könnte ein erfolgreicher Angreifer durch die Sicherheitslücken auf Bereiche des Hauptspeichers zugreifen, auf die er im Normalfall keinen Zugriff hat. Dies können im Fall eines einzelnen Systems Zugriffe eines normalen Prozesses (z. B. Webbrowser) auf den Kernel Memory sein, und damit Systembereiche, in denen Passwort-Hashes und Zertifikate abgelegt werden. Im Fall eines virtuellen Hosts wäre auch ein Ausbrechen aus der virtuellen Maschine und Zugriff auf Informationen von anderen auf diesem System laufenden virtuellen Maschinen denkbar.

Aufgrund der zuletzt beschriebenen Problematik ist eine Absicherung der Lücke in geteilten virtuellen Umgebungen besonders kritisch. Große Cloud-Anbieter patchen ihre Systeme bereits seit Wochen. Kunden merken dies teilweise daran, dass sie über einen erforderlichen Neustart ihrer VM  informiert werden.

Zur weiteren Recherche sind hier die eindeutigen Common Vulnerabilities and Exposures Bezeichnungen (CVE) gelistet:

 

  • CVE-2017-5715 (branch target injection)
  • CVE-2017-5753 (bounds check bypass)
  • CVE-2017-5754 (rogue data cache load) 

 

Notwendige Schritte für Microsoft-Systeme

Microsoft hat am 03.01.2018 bereits Updates1 für die Windows Betriebssysteme bereitgestellt. Diese Updates sollten zeitnah (nach entsprechenden Tests) installiert werden. Da die Lücke im Prozessor ist, reicht eine Aktualisierung des Betriebssystems für eine vollständige Absicherung nicht aus. Es muss auch der Microcode im Prozessor angepasst werden. Dieser Microcode wird im Rahmen des Bootprozesses aus dem BIOS/ Firmware des Systems übertragen. Somit muss auch der Hersteller ein entsprechendes BIOS Update bereitstellen und auf die Systeme verteilt werden.

 

Achtung: Das Sicherheitsupdate hat Probleme mit einigen Antiviren-Herstellern. Daher installiert Microsoft das Update nur, wenn ein bestimmter Registry Key durch den Hersteller (z. B. durch ein Definitionsupdate) gesetzt wird. Dadurch wird bestätigt, dass die Software in Kombination mit dem Update nicht zu einem Bluescreen führt.

Microsoft selber spricht in ihrem  Artikel nur von bestimmten AV-Herstellern, die zu Problemen führen, aber veröffentlich keine Liste.

Es gibt eine entsprechende „inoffizielle“ Liste unter:

https://docs.google.com/spreadsheets/d/184wcDt9I9TUNFFbsAVLpzAtckQxYiuirADzf3cL42FQ/htmlview?sle=true#gid=0

Sollte in der Spalte „Sets Registry Key“ bei Ihrem Produkt „N“ stehen, so hat der Hersteller sein Produkt noch nicht mit dem Update geprüft und somit würde das Update auf Ihren Clients nicht angeboten oder installiert werden.

Als Beispiel beschreibt Sophos auf ihrer Webseite2 (Stand 04.01.2018), dass sie das Update geprüft haben und den Registry Key ab 05.01.2018 setzen werden.

 

Notwendige Schritte für die Hardware

Aktuell reagieren Hersteller mit Intel-Prozessoren, wobei AMD Prozessoren nicht zu 100 % immun sind.

Details zu den Intel Prozessoren sind unter https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr zu finden. Auch ARM Prozessoren sind betroffen3 und Google hat bereits ein Security Update für Android (meistens auf ARM Architektur) herausgebracht.

 

Hersteller

Geräteklasse

Update verfügbar?

Microsoft

Surface

Ja

HP

Clients

Unbekannt

HP

Server

Verfügbar8

Fujitsu

Clients

BIOS Updates angekündigt9

Fujitsu

Server

BIOS Updates angekündigt9

Lenovo

Clients

BIOS Updates ab 09.01.20184

Lenovo

Server

BIOS Updates ab 09.01.20185

 

Notwendige Schritte für sonstige Betriebssysteme auf betroffener Hardware

Auch andere Betriebssystemhersteller bieten Updates für die Schwachstellen an. Daher denken Sie bitte auch an Ihre Linux, Macs, x64 basierte Storage Systeme (NetApp, NAS, …) und überprüfen beim Hersteller, ob bereits Updates verfügbar sind. VMware hat ebenfalls mit einem Update reagiert. Details dazu sind unter https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html zu finden.

 

Sonstige Auswirkungen

Da das Update im Bereich der Zugriffe auf den Hauptspeicher Anpassungen vornehmen muss, kann es je nach Einsatzgebiet des Systems zu Performance-Einbußen kommen.

Es gibt erste Tests auf Desktop Hardware6, die ein sehr unterschiedliches Bild bieten. Ebenso gibt es bereits Beschwerden, dass manche Amazon EC2 Instanzen7 langsamer laufen. Es wird sich aber erst im Laufe der Zeit zeigen, welche konkreten Auswirkungen die Updates haben und welche Optimierungen eventuell noch möglich sind. 

 

Kontrolle

Microsoft hat ein Powershell Modul (Install-Module SpeculationControl) bereitgestellt, mit dem die aktuellen Absicherungen für die beiden Sicherheitslücken überprüft werden können.

Ein ungepatchtes System zeigt folgende Informationen:

Nach der Installation des Microsoft Updates aber ohne Firmware Update:

Ein vollständig geschütztes System erzeugt folgende Ausgabe:

 

Weiterführende Quellen:


https://support.microsoft.com/en-us/help/4073119/protect-against-speculative-execution-side-channel-vulnerabilities-in

2 https://community.sophos.com/kb/en-us/128053 

3 https://developer.arm.com/support/security-update

4 https://support.lenovo.com/de/de/solutions/len-18282

5 https://support.lenovo.com/de/de/solutions/len-18282

6 https://www.techspot.com/article/1554-meltdown-flaw-cpu-performance-windows/

7 https://www.theregister.co.uk/2018/01/04/amazon_ec2_intel_meltdown_performance_hit/

8 https://support.hpe.com/hpsc/doc/public/display?docId=emr_na-a00039267en_us

9 http://support.ts.fujitsu.com/content/SideChannelAnalysisMethod.asp

 

Autor: Markus Bäker (Leiter Consulting Team, markus.baeker@its-technidata.de)

Der Artikel wird kontinuierlich aktualisiert.