IT Security

Neue CPU Schwachstellen bekannt: Spectre Next Generation (NG)

22.05.2018 14:00

Die Sicherheitslücken Meltdown(CVE-2017-5754) und Spectre(CVE-2017-5715 und CVE-2017-5753), die Anfang des Jahres veröffentlicht wurden, hielten die ganze IT-Welt auf Trapp. „Panik, Chaos, Patches“ waren Schlagwörter die in den ersten Monaten des Jahres die Überschriften bekannter IT-Magazine, sowie auch anderer Medien, zierten. Nach dem ständigen hin und her mit Patches installieren, Patches wieder zurückziehen, noch keine Patches vorhanden etc. sind mittlerweile Updates für alle gängigen Betriebssysteme, Browser und Prozessoren vorhanden. Außerdem ist es inzwischen auch möglich, Patches, die Microcode-Updates gegen Meltdown und Spectre enthalten, über Betriebssystem-Updates zu installieren. Ein aufwendigeres Patchen über das Einspielen von BIOS-Updates, ist somit nicht mehr unbedingt notwendig.

Kurz zusammengefasst handelt es sich bei Meltdown und Spectre über Sicherheitslücken in modernen Prozessoren von Intel, AMD, ARM, IBM etc.. Prinzipiell geht es bei beiden Schwachstellen darum, über sogenannte Seitenkanalangriffe (Side-Channel-Attacks) Informationen aus Speicherbereichen zu lesen, die einem Benutzer unter normalen Voraussetzungen nicht zugänglich sind. Diese ausgelesenen Informationen können ggf. sensible Daten wie Passwörter, persönliche Fotos, E-Mails etc. enthalten.

Die Veröffentlichung dieser Schwachstellen führte nun dazu, dass sich immer mehr Sicherheitsexperten mit diesem Thema beschäftigen. Die weitere Forschung in diesem Bereich bringt nun weitere, bisher unbekannte, Sicherheitslücken ans Tageslicht.

1. Was verbirgt sich nun hinter Spectre NG?

Anfang Mai wurde von Heise berichtet, dass zumindest noch weitere acht Schwachstellen in modernen Prozessoren gefunden wurden. Da diese ähnlich zu Meltdown und Spectre sind, wurden sie Spectre Next Generation (NG) getauft. Am 21.05.2018 wurden nun neuere Informationen zu zwei von den acht bereits identifizierten Schwachstellen veröffentlicht. Offiziell sind beide Schwachstellen als Spectre V3a und Spectre V4 bekannt.

1.1 Spectre V3a (Rogue System Register Read, CVE-2018-3640, CVSS31 Rating: 4.3)

Diese Schwachstelle wurde von ARM gemeldet und ist laut einer Einschätzung von Intel nur schwer ausnutzbar. Viel mehr ist zum jetzigen Zeitpunkt auch noch nicht bekannt, nur, dass neuere Microcode Updates auch Funktionen enthalten werden, um diese Schwachstelle zu beheben bzw. abzuschwächen.
1 https://www.first.org/cvss/specification-document

1.2 Spectre V4 (Speculative Store Bypass, CVE-2018-3639, CVSS3 Rating: 4.3)

Diese Schwachstelle wurde von mehreren Forschern gemeldet, unter anderem von Google Project Zero und Microsoft. Hier handelt es sich, ähnlich wie bei Spectre Variante 1, um einen Seitenkanalangriff. RedHat beschreibt, dass das Ausnützen dieser Lücke einen unprivilegierten Benutzer dazu befähigt, Speicherbereiche auszulesen die ihm über einen regulären Weg nicht zugänglich sind. Zusätzlich hat RedHat ein Video veröffentlicht, das Speculative Store Bypass einfach erklärt:

 

2. Patches

Laut Intel sind wesentliche Schutzmaßnahmen gegen Spectre V4 bereits umgesetzt z. B. Änderungen in JavaScript-Timer-Funktionen, Browser Site-Isolation etc. Damit die Schwachstellen jedoch gemildert werden können, wird es weitere Microcode- und Betriebssystem-Patches geben. Microcode-Updates, die sich im Beta-Status befinden, wurden bereits an OEM- und Betriebssystemhersteller verteilt. Desweiteren sollen diese neuen Schutzfunktionen per Default ausgeschaltet sein, damit die Kunden selbst entscheiden können, ob Sie diese aktivieren oder nicht. In deaktiviertem Zustand soll es zu keinen Prozessor-Performance-Einbußen kommen. Wenn diese jedoch aktiviert werden, soll die Prozessor-Performance, laut einem SYSmark 2014SE Benchmark, zwischen 2 und 8 Prozent niedriger sein.

Zusätzlich enthalten die neuen Updates auch Microcode, welcher Variante 3a abmildern soll. Diese Änderungen führen laut Intel zu keinen nennenswerten Performance-Einbußen. Bis jetzt ist jedoch noch nicht bekannt, wann Patches für welche Systeme erscheinen. Es wird vermutet, dass eine erste Welle an Updates noch im Mai verfügbar sein wird. Die zweite Update-Welle wird dann für August erwartet.


3. Risiko

Derzeit sind noch keine konkreten Angriffe bekannt, die eine der bereits bekannten Schwachstellen ausnutzt. Laut einer ersten Einschätzung von Heise sind durch Spectre NG vor allem Server von Cloud-Anbietern betroffen, da diese nicht steuern können, welcher Code in den einzelnen virtuellen Maschinen ausgeführt wird. Bei typischen PCs, Notebooks etc. steigt das Gefährdungspotential kaum, da meistens auch noch andere Sicherheitslücken im Betriebssystem, Browser oder anderer Software versteckt sind, die wesentlich einfacher auszunutzen sind.

Prinzipiell gilt es, wie auch bei anderen bekannten Schwachstellen, folgende Punkte einzuhalten:

  • eingesetzte Software (Betriebssystem, Applikationen etc.) auf dem neuesten Stand halten
  • generelle Security Best Practices gegen Malware einhalten
  • Deaktivieren von nicht benötigten Diensten
  • Einsatz von Sicherheitslösungen wie Endpoint Protection Software, Firewalls, Intrusion Prevention Systeme etc.

Für weitere Unterstützung und Beratung hilft ihnen ihr Bechtle Systemhaus in ihrer Nähe sehr gerne!


4. Linkliste

AMD: News Update
Heise: Artikel
Intel: News Update
Intel: Betroffene Prozessoren
Intel: Zusammenfassung und FAQ
RedHat: News Update
Microsoft: News Update
Google Project Zero: News Update

_

Autor

PatrickPotz

Patrick Pötz

Funktion: Security Consultant
Standort: Graz

Meine Motivation:

Allem voran möchte ich unsere Kunden informieren – über Neuigkeiten, Trends und nachhaltige Entwicklungen rund um IT Security. Auf Feedback und Diskussionen bin ich gespannt – und natürlich auf den fachlichen Austausch. Wenn ich außerdem mein Interesse und die Begeisterung für das Themenfeld IT Security an einige weitergeben kann, habe ich mein Ziel erreicht.

Kurzprofil:

Patrick Pötz studierte Informationsmanagement an der Fachhochschule Graz. Nachdem er schon immer an Netzwerkthemen und IT-Sicherheitsthemen interessiert war, vertiefte er seine Kenntnisse im Studium Advanced Security Engineering an der Fachhochschule Kapfenberg. In seiner Masterarbeit beschäftigte er sich mit der Überwachungsgesellschaft und dem Umgang mit sensiblen Daten mit speziellem Fokus auf Social Media. Von 2012 bis 2016 war er als IT Systems Engineer für ein mittelständisches Unternehmen in Graz tätig. Dort war er von Anfang an in den Bereichen Netzwerk und Sicherheit tätig. Anfang 2016 entschied er sich das Unternehmen zu verlassen und als Freelancer die Welt zu bereisen. In den nächsten elf Monaten betreute er Kunden remote und konnte gleichzeitig als Reisender viele Orte und Kulturen kennenlernen und sein internationales Netzwerk ausbauen. In diesen Monaten lebte er vielen großen Städten in Asien, Ozeanien und Nordamerika. Anfang 2017 zog in seine Leidenschaft für IT Security nach Deutschland. Dort war er als Berater für die cirosec GmbH tätig. Seit Oktober 2017 ist er als IT Security Consultant für das Bechtle IT-Systemhaus Graz tätig. Sein Schwerpunkte liegen auf externen, internen, Webapplikations-Audits und Penetrationstests.



 
Diese Seite teilen:   Xing Facebook Twitter
 
 Cookie-Kontrolle.

Dieser Internetauftritt verwendet Cookies um Informationen auf Ihrem Client zu speichern.

Ihre Browsereinstellungen verhindern das Setzen von Cookies.
Ihre Browsereinstellungen erlauben das Setzen von Cookies.
Funktionale Cookies sind deaktiviert.
Funktionale Cookies sind aktiviert.
Zu den Einstellungen