Icons Meltdown und Spectre

Alles über Meltdown & Spectre

Was steckt hinter
Meltdown & Spectre
und wie schützt seculution?

Update 6/2018

Es ist ruhiger geworden um Meltdown und Spectre. Doch gibt es immer wieder Neuigkeiten und Spekulationen um die Gefahr die möglicherweise von diesen immer noch aktiven und nicht komplett patchbaren Sicherheitslücken ausgeht. Auch auf Grund der nicht abreißenden Fragen von Interessenten und Kunden hier ein weiteres Update zu diesen Lücken.
Die Informationen rund um dieses Update stammen aus dem Podcast „Security now“ von Steve Gibson, der mit seiner Firma „Gibson Research Corporation“ unter anderem das Analyse Tool „InSpectre“ zur Verfügung stellt.

Ein Fakt der geblieben ist: Spectre und Meltdown brauchen Malware auf dem Rechner:
„[...] Das deutet darauf hin, dass Sie Malware auf Ihrem Rechner haben; richtig? Wenn Sie also etwas bösartiges auf Ihrem Rechner haben, ist das Spiel sowieso vorbei. Der einzige Weg, infiziert zu werden, ist, wenn bereits etwas auf Ihrem Computer läuft.“
„[...] That suggests that you've got malware on your machine; right? So if you've got something malicious on your machine, it's game over anyway. [...] The only way to be infected is if something is running in your computer.“

Und wenn sowieso schon Malware auf dem Rechner läuft, braucht der Angreifer kein Meltdown oder Spectre benutzen, um zu tun, was Angreifer so tun:
„[...] und wenn Sie also hier auf einem privaten Computer etwas haben, wissen Sie, wenn Sie etwas in Ihrem System haben, ist das Letzte, was es tun wird, Meltdown und Spectre zu nutzen. Es wird sich nur umsehen und tun, was es will.“ 
„[...] And so here on a personal workstation, if you've got something, you know, if you've got something that is in your system, the last thing it's going to do is use Meltdown and Spectre. It's just going to look around and do whatever it wants to.“ 

In einem normalen Firmenumfeld ist das also kein Thema, sondern eher bei Hostern: 
„[...] Der Grund, warum es für virtualisierte Umgebungen interessant ist, ist die Tatsache, dass die bösen Jungs absichtlich schädliche virtuelle Maschinen ausführen und versuchen, in andere virtuelle Maschinen auf der selben Hardware zu gelangen.“ 
„[...] The reason it's interesting for virtualized environments is that bad guys could deliberately be running malicious virtual machines, trying to get across into other virtual machines on the same hardware,“ 

Auch Berichte über Browser-Scripte, stimmen so nicht mehr, denn Browser Hersteller haben die Timer Auflösung für Scripte so reduziert, dass Meltdown Angriffe nicht funktionieren:
„[...] Es gab einige Bedenken, dass vielleicht eine bösartige Webseite dies tun könnte. Aber Webseiten tun dies auch nicht, wissen Sie, die Timing-Informationen wurden bereits durch Abhilfemaßnahmen gegen andere Angriffe unscharf gemacht. Webseiten bieten also nicht die nötige Unterstützung - der Code, das auf einer Webseite laufende JavaScript ist kein Weg in Ihr System.“ 
„[...] There was some concern that maybe a malicious web page could do this. But web pages do not, you know, the timing information has already been fuzzed by other mitigations against other attacks. So web pages don't have the resolution - the code, the JavaScript running on a web page isn't a means into your system.“ 

„Echte“ Angriffe scheint es bis heute nicht zu geben: 
„[...] Und immer noch sechs Monate später haben wir das (erfolgreichen Agriff unter zu Hilfenahme von Meltdown oder Spectre) noch nie gesehen. Selbst jetzt, sechs Monate später, ist das immer noch ein theoretisches Problem, kein praktisches.“ 
„[...] And still six months later we've never seen this ever, ever used. [...] Even now, six months later, this is still a theoretical problem and is not practical.“ 

Zusammenfassung:
Spectre und Meltdown sind ein Problem für Hoster, nicht für Firmennetzwerke oder private Nutzer. Ein Fakt der ebenfalls bleibt ist, wer sich Sorgen macht, ist mit seculution immer noch 1.000 mal besser geschützt, als mit allen anderen Mitteln.

Quelle: Gibson Research Corporation
Mehr im Transskript zum Podcast „Security now“ Episode 668 auf grc.com

Update 2/2018

Auch gut einen Monat nach Bekanntwerden der Meltdown- und Spectre-Sicherheitslücken ist ein Großteil der Hardware-Hersteller und Sicherheitsforscher noch mit dem Thema beschäftigt. Während die Hersteller, unter anderem Intel, noch fleißig zugange sind, Patches zu entwickeln und auszuliefern, schreiben Sicherheitsforscher aller Cou­leur bereits Exploit-Schadcode. Das Virentestlabor AV-Test zählt mittlerweile knapp 140 verschiedene Malware-Versionen, welche die Lücken angreifen sollen.“

„Mittlerweile gibt es fast 140 verschiedene Malware-Ausgaben, die versuchen, die Prozessorlücken Meltdown und Spectre zu missbrauchen. Ob das bisher zu konkreten Angriffen auf Nutzer geführt hat, lässt sich nur schwer feststellen.

Was Sie über Meltdown und Spectre wissen sollten

Microsoft, Linux, Google und Apple begannen Anfang Januar 2018 mit dem Ausrollen von Patches, die Designfehler in Prozessorchips adressieren, die von Sicherheitsforschern als „Meltdown“ und „Spectre“ benannt wurden. seculution informiert auf dieser Seite über die Vorteile von Application-Whitelisting im Zusammenhang mit diesen und weiteren, noch unbekannten Sicherheitslücken.

Was ist Meltdown?

Meltdown, als CVE-2017-5754 bezeichnet, kann es Hackern ermöglichen, privilegierten Zugriff auf Teile des Arbeitsspeichers eines Computers zu erhalten, die von einer Anwendung/einem Programm und dem Betriebssystem verwendet werden. Dieser Angriff ermöglicht es einem Programm, auf den Speicher und damit auch auf die Geheimnisse anderer Programme und des Betriebssystems zuzugreifen. Die Meltdown Lücke betrifft Intel-Prozessoren.

Wenn Ihr Computer über einen verwundbaren Prozessor verfügt und ein nicht gepatchtes Betriebssystem verwendet, ist es nicht sicher, mit sensiblen Informationen zu arbeiten, ohne dass die Möglichkeit besteht, dass diese sensiblen Informationen durch Schadsoftware abgegriffen werden kann. Dies gilt sowohl für Personal Computer als auch für die Cloud-Infrastruktur.
Es existieren bereits Software-Patches gegen Meltdown.

Was ist Spectre?

Spectre, als CVE-2017-5753 und CVE-2017-5715 bezeichnet, kann es Angreifern ermöglichen Informationen zu stehlen, die in den Kernel/Cache Dateien oder im Speicher laufender Programme gespeichert sind (Passwörter, Login-Keys, etc.). Die Lücke ermöglicht es einem Angreifer, fehlerfreie Programme, die Best Practices befolgen um diese Daten zu schützen, zu täuschen, damit sie ihre Geheimnisse preisgeben. Tatsächlich erhöhen die Sicherheitsüberprüfungen der genannten Best Practices die Angriffsfläche und können Anwendungen anfälliger für Spectre machen. Spectre wirkt sich auf Prozessoren von Intel, AMD und ARM aus.

Spectre ist schwerer auszunutzen als Meltdown, aber es ist auch schwieriger abzuschwächen.
Es ist jedoch möglich, bestimmte bekannte Exploits, die auf Spectre basieren, durch Software-Patches zu verhindern.

Wie hilft seculution?

Kann Application-Whitelisting überhaupt vor der Ausnutzung dieser Sicherheitslücken schützen?
Die durch seculution geleistete Sicherheit, ist nach wie vor dieselbe. Denn die Ausnutzung der Sicherheitslücken Meltdown und Spectre benötigt zusätzliche Software, welche auf dem angegriffenen Rechner ausgeführt werden muss. Diese Schadsoftware ist seculution nicht bekannt und wird dadurch von seculution an der Ausführung gehindert. 

Mehr Details zu Meltdown und Spectre

Moderne Prozessoren sind so konzipiert, dass sie zukünftige Rechenoperation durch "spekulative Ausführung" vorbereiten. Die Prozessoren werden so leistungsfähiger, da sie die erwarteten Funktionen "spekulieren" können, und indem diese Spekulationen im Voraus in eine Warteschlange gestellt werden, können sie Daten effizienter verarbeiten und Anwendungen/Software schneller ausführen. Diese Technik erlaubt jedoch den Zugriff auf normalerweise isolierte Daten, so dass ein Angreifer möglicherweise einen Exploit senden kann, der auf die Daten zugreifen kann.

Was sind die Auswirkungen?

Intel-Prozessoren, die seit 1995 gebaut wurden, sind Berichten zufolge von Meltdown betroffen, während Spectre Geräte betrifft, die auf Intel, AMD und ARM-Prozessoren laufen. Meltdown hängt mit der Art und Weise zusammen, wie Privilegien verwendet werden. Spectre hingegen ermöglicht Zugriff auf sensible Daten die im Speicher der laufenden Anwendung abgelegt sind.

Die potenziellen Auswirkungen sind weitreichend: Desktops, Laptops und Smartphones, die auf anfälligen Prozessoren laufen, können unbefugtem Zugriff und Datendiebstahl ausgesetzt sein. Cloud-Computing, virtuelle Umgebungen, Mehrbenutzer-Server - auch in Rechenzentren und Unternehmensumgebungen - die diese Prozessoren ausführen, sind betroffen.

Zusätzlich zu erwähnen ist, dass die Patches, die für Windows- und Linux-Betriebssysteme veröffentlicht wurden, die Systemleistung je nach Auslastung um 5 bis 30 Prozent reduzieren können.

Googles Project Zero verfügt über Proof-of-Concept (PoCs) Exploits, die gegen bestimmte Software arbeiten. Glücklicherweise berichteten Intel und Google, dass sie bisher noch keine Angriffe gesehen haben, die diese Schwachstellen aktiv ausnutzen.

Beheben die Patches Meltdown und Spectre?

Microsoft hat vor dem monatlichen Patch-Zyklus ein Sicherheits-Bulletin herausgegeben, um die Schwachstellen in Windows 10 zu beheben. Updates/Fixes für Windows 7 und 8 wurden am regulären Patchday im Januar verteilt. Microsoft hat auch Empfehlungen und Best Practices für Clients und Server herausgegeben.

Google hat Abhilfemaßnahmen für die betroffene Infrastruktur und Produkte (YouTube, Google Ads, Chrome, etc.) veröffentlicht. Außerdem wurde ein Security Patch Level (SPL) für Android veröffentlicht, der Updates abdeckt, die Angriffe, die Meltdown und Spectre ausnutzen könnten, weiter einschränken können. Ein separates Sicherheitsupdate für Android wurde ebenfalls am 5. Januar veröffentlicht. Hier ist zu beachten, dass das Patchen auf Android aufgesplittet ist, so dass Benutzer ihre OEMs über die Verfügbarkeit informieren müssen. Nexus- und Pixel-Geräte können das Update automatisch herunterladen.

Auf Grund der Komplexität der Angriffszenarien und der Tatsache, dass es nur wenige Proof-of-Concept Exploits von Meltdown und Spectre gibt, schützen die Patches nicht vor noch unbekannten Angriffen auf Meltdown und Spectre.

Whitepaper

Come to the light side

Lernen Sie die Macht der Whitelist für sich zu nutzen.

© Copyright 2020 seculution - All Rights Reserved