IT Security

Sicherheitslücken MELTDOWN und SPECTRE: Aktuelle Einschätzung und Empfehlungen.

08.01.2018 14:00

Gravierende Sicherheitslücken von bisher ungekanntem Ausmaß sind Anfang des Jahres bekannt geworden. In aktuellen Prozessoren der Hersteller Intel, AMD und ARM wurden Schwachstellen entdeckt, die das Auslesen von geheimen und sensiblen Informationen ermöglichen. Die Exploits „Meltdown“ und „Spectre“ erlauben potenziellen Angreifern, unberechtigt auf Speicherinformationen zuzugreifen und die im Prozessor verarbeiteten Daten auszulesen. Wegen der sehr hohen Verbreitung dieser Kernbausteine sind nun Milliarden von Computersystemen betroffen.

Welche Gefährdungsrisiken gibt es?

Ein Angreifer kann sensible Daten wie z. B. Passwörter, geheime Schlüssel oder vertrauliche Daten aus dem Speicher eines betroffenen Systems auslesen.

Voraussetzung hierfür ist, dass er eine entsprechende Schadsoftware auf dem System ausführt. Hierzu benötigt man in der Regel bereits einen Zugriff auf das System mit einem gültigen User Account, z. B. per Remote Desktop Protocol auf Windows-Systemen oder per SSH auf Linux-Systemen. Aber auch die Verbreitung von Schadsoftware über einen E-Mail-Anhang oder per Web-Download ist möglich. Dieses Angriffsszenario (Meltdown) stellt hierbei die kritischere Schwachstelle dar. Es handelt sich um eine lokal ausgenutzte Schwachstelle(Local Privilege Escalation). Fatal ist, dass Standardbenutzerrechte ausreichen, um den Angriff durchzuführen.

Das zweite Angriffsszenario (Spectre) ist schwieriger auszunutzen, aber die Schadsoftware kann z. B. per JavaScript im Browser ausgeführt werden. Insofern sind Sicherheits-Updates sowohl für das Betriebssystem als auch für die Anwendungssoftware wie z. B. Browser etc. dringend nötig.

Welche Systeme sind betroffen?

Grundsätzlich sind alle heute gängigen Prozessoren der Firmen Intel, AMD und ARM betroffen, wenngleich die kritischste Schwachstelle (Meltdown) offenbar nur Intel und ARM betrifft. Hierdurch sind alle heute üblichen Systeme gefährdet: Desktops/Laptops, Server, aber auch Cloud-Systeme, Smart Devices und IoT-Systeme.

Besonders kritisch sind z. B. Terminal-Server oder virtuelle Instanzen, bei denen mehrere Benutzer angemeldet sind. Ein Angreifer kann mit einem gültigen User-Account beispielsweise Administrator-Passwörter auslesen.

Auch Netzwerk-Geräte wie z. B. Firewalls, Switche und Router weisen diese Schwachstellen teilweise auf. Dies sollte aber in einer Umgebung, die nach Best Practice implementiert wurde, nach heutiger Einschätzung relativ schwer ausnutzbar sein, da ein Zugriff auf diese Systeme benötigt wird. Stichworte hierzu: Systemhärtung, starke Authentifizierung, Stealth-Mode etc.

Welche Maßnahmen sind erforderlich?

Die Schwachstellen befinden sich zwar in der Hardware, können aber über Software-Updates behoben werden. Hierbei ist mit einer Performance-Verschlechterung zu rechnen, die sich aber nur in sehr speziellen Umgebungen merklich auswirken dürfte. In den meisten Fällen sollte es sich aus heutiger Sicht im Bereich weniger Prozentpunkte bewegen.

Es sollten für alle Systeme Updates durchgeführt werden. Das bedeutet, es werden Aktualisierungen für das eingesetzte Betriebssystem sowie ein Microcode-Update des Prozessors, welches vom jeweiligen Hersteller (OEM) per Bios-Update bereitgestellt wird, benötigt.

Zur Priorisierung der Maßnahmen empfehlen wir, vorrangig Server mit Multi-User-Systemen zu aktualisieren. Content-Security-Systeme und Endpoint Security sollten dann rasch nachgezogen werden, danach zwingend Server- sowie Client-Betriebssysteme.

Welche Maßnahmen sind für Cloud-Systeme erforderlich?

Die Cloud-Umgebungen der Hersteller Amazon und Google sind inzwischen vollständig gegen die Schwachstelle gepatcht. Microsoft Azure wurde bereits zum größten Teil aktualisiert, bei vereinzelten Systemen ist jedoch noch ein Neustart notwendig. Ob Ihre Systeme einen Neustart benötigen, können Sie in der „Azure Service Health Planned Maintenance Section“ Ihres Azure-Portals in Erfahrung bringen. Generell gilt, dass dies nur vor potenziellen Angriffen ausgehend von anderen virtuellen Maschinen schützt, es müssen auch hier nach wie vor die Updates für das jeweilige Betriebssystem eingespielt werden.

https://portal.azure.com/#blade/Microsoft_Azure_Health/AzureHealthBrowseBlade/plannedMaintenance

https://azure.microsoft.com/en-us/blog/securing-azure-customers-from-cpu-vulnerability/

https://aws.amazon.com/security/security-bulletins/AWS-2018-013/

https://support.google.com/faqs/answer/7622138#gce


Was sollte bei Systemen, für die keine Updates zu Verfügung stehen, beachtet werden?

Wir empfehlen, diese über Firewall, IPS und Netzwerksegmentierung abzusichern, d. h., vor allem von kritischen Systemen bzw. Systemen mit sensiblen Daten zu isolieren. Auch sollten Zugriffe von außen, wie bspw. Fernwartung etc., soweit möglich eingeschränkt werden.


Hersteller-Informationen zu Betriebssystemen:

Microsoft: Die Lücken wurde am 04.01.2018 durch Updates behoben. Für Details siehe: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002 (für eine Übersicht der Server Betriebssysteme siehe https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution sowie Client-Betriebssysteme siehe https://support.microsoft.com/en-us/help/4073119/protect-against-speculative-execution-side-channel-vulnerabilities-in ).

Vorsicht ist geboten im Zusammenhang mit Anti-Virus-Produkten vor dem Update. Siehe hierzu https://support.microsoft.com/en-us/help/4072699/important-information-regarding-the-windows-security-updates-released

Apple macOS: macOS (High Sierra) 10.3.2 beinhaltet bereits das kritischste Update. Mit Version 10.3.3 sollen sämtliche Schwachstellen geschlossen sein.

Linux: Für Linux Systeme existiert zum einen ein Workaround (siehe Kernel Page-Table Isolation PTI bzw. KPTI unter https://lwn.net/Articles/738975/), sowie (teilweise) Patches für verschiedenen Linux-Varianten.


Herangezogene Quellen und detaillierte Informationen:

Die „Schwachstellen“ werden unter folgenden CVE-Nummern geführt:

 

 

Advisories zu Prozessor-Herstellern:

AMD: https://www.amd.com/en/corporate/speculative-execution

ARM: https://developer.arm.com/support/security-update

Intel: https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr

Eine komplette Übersicht und den aktuellen Stand der Aktualisierungen lesen Sie bitte auf den folgenden Seiten: https://meltdownattack.com bzw. https://spectreattack.com


Aufgeführt sind die herangezogenen Quellen, welche u. a. weitere detaillierte Angaben zu Behebungen beschreiben.

https://meltdownattack.com bzw. https://spectreattack.com

https://googleprojectzero.blogspot.de/2018/01/reading-privileged-memory-with-side.html

https://security.googleblog.com/2018/01/more-details-about-mitigations-for-cpu_4.html?m=1

https://www.computerbase.de/2018-01/intel-cpu-pti-sicherheitsluecke/

https://www.theguardian.com/technology/2018/jan/04/meltdown-spectre-computer-processor-intel-security-flaws-explainer


Weitere Informationen unserer Hersteller im Security-Portfolio:

 

Weitere interessante Links:

 

Weiterer Blobeitrag zum Thema:

Sicherheitslücken MELTDOWN und SPECTRE: Welche Auswirkung hat der Rückruf des Microcode-Updates von Intel?

_

Autor

kionga_charles.jpg

Charles Kionga

Funktion: Principal Consultant, Bereichsleitung IT-Security Competence Center BISS (Bechtle Internet Security & Services)
Standort: IT-Systemhaus Neckarsulm

Meine Motivation:

Die Themen IT Security & Networking auf einem hohen Kompetenzniveau zu betreiben, erfordert eine Community mit extrem viel Leidenschaft. Unser BISS-Team mit zwischenzeitlich mehr als 30 hochtalentierten Spezialisten zählt zu den Top-Adressen in der DACH-Region. Sie zu coachen und zu begleiten in einer IT-Welt, die stetige Umwälzungen durchlebt, motiviert mich jeden Tag. Ich führe diesen Blog gemeinsam mit meinem Team.



 
Diese Seite teilen:   Xing Facebook Twitter
 
 Cookie-Kontrolle.

Dieser Internetauftritt verwendet Cookies um Informationen auf Ihrem Client zu speichern.

Ihre Browsereinstellungen verhindern das Setzen von Cookies.
Ihre Browsereinstellungen erlauben das Setzen von Cookies.
Funktionale Cookies sind deaktiviert.
Funktionale Cookies sind aktiviert.
Zu den Einstellungen