- Anzeigen -


Sie sind hier: Home » Virenwarnung » Sicherheitslecks

Was sind Meltdown und Spectre?


Meltdown und Spectre: Die wichtigsten Fragen und Antworten zu den zwei Schwachstellen in Prozessoren im Überblick
Die Schwachstellen befinden sich in den grundlegendsten Funktionen von Computerprozessoren

- Anzeigen -





Nach den ersten Berichten über die bekannt gewordenen Schwachstellen in Mikroprozessoren, arbeiten die betroffenen Chiphersteller mit Hochdruck an einer industrieweiten Lösung. Mit täglich neuen Details und Meldungen von Seiten der Sicherheitsexperten und Unternehmen bleibt die Lage unübersichtlich. Digital Shadows hat die wichtigsten Fragen und Antworten zusammengestellt.

Die Meltdown und Spectre getauften Sicherheitslücken ermöglichen es Angreifern, auf Systemspeicherinformationen im Kernel, dem privilegiertesten Bereich moderner Betriebssysteme, zuzugreifen. Der Kernel verwaltet Prozesse wie das Starten und Beenden von Anwenderprogrammen, Sicherheitseinstellungen, Speicherverwaltung und die Steuerung von Hardware wie Speicher- und Netzlaufwerken.

Über einen Exploit von Meltdown ist das Umgehen des Mechanismus zwischen Betriebssystem und Anwendungen möglich. Dies kann dazu führen, dass Passwörter und andere sensible Daten, die im Arbeitsspeicher des Systems gespeichert sind, ungeschützt bleiben. Die Schwachstelle kann über CVE-2017-5754 nachverfolgt werden.

Über Spectre lassen sich Angriffe starten, die die Isolierung zwischen den Anwendungen umgehen. Dabei wird das sogenannte "speculative execution" Chipverfahren ausgenutzt, das von so gut wie allen modernen Prozessoren zur Performance-Steigerung genutzt wird. Unter bestimmten Bedingungen lässt sich der Prozessor derart manipulieren, dass zurückkehrende Daten aus anderen Anwendungen sowie sensible Daten abgefangen werden. Der Exploit lässt sich über CVE-2017-5753 und CVE-2017-5715 nachverfolgen. Digital Shadows-Analysten testeten einen Proof-of-Concept-Code, auf den im Whitepaper von Spectre verwiesen wird und der korrekt funktionierte.

Wer ist betroffen?
Die Schwachstellen befinden sich in den grundlegendsten Funktionen von Computerprozessoren. Damit ist so gut wie jeder betroffen, der einen Computer nutzt – vom Heim-PC und Notebook über Smartphone und Tablet bis hin zu komplexen Systemen in Industrie und Verwaltung. Während Meltdown Experten zufolge "nur" Intel-Chips betrifft, ist Spectre in Mikroprozessoren von AMD und dem Chip-Entwickler ARM zu finden, womit auch mobile Geräte gefährdet sind. Auch Apple gab an, dass iPhones, iPads und Mac-Computer betroffen seien. Cloud-Umgebungen sind ebenfalls gefährdet, da potentielle Angreifer aus einem einzelnen Anwenderprozess "ausbrechen" können, um auf andere Prozesse zuzugreifen, die auf dem gemeinsam genutzten Server laufen.

Was sollten Anwender tun?
Eine Vielzahl an Anbietern, darunter auch Microsoft, Google, Android und Mozilla, haben bereits Advisories zur ihren betroffenen Produkten veröffentlicht. Digital Shadows hat eine Liste der jeweiligen Websites zusammengestellt. Generell raten sowohl die IT-Unternehmen als auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) dringend zu einem schnellen Update von Geräten. Hier gibt es jedoch einiges zu beachten:

Patches für Meltdown stehen zwar bereit; es gibt jedoch derzeit keinen speziellen Patch für Spectre, wobei nach US CERT mit hoher Wahrscheinlichkeit ein Hardware-Fix nötigt ist, um die Auswirkungen vollständig abzumildern.
Die Mitigation-Maßnahmen wirken sich auf die Systemleistung aus und verlangsamen Geräte. Daher empfiehlt es sich vorab einen Probelauf durchzuführen.

Die Mitigation-Maßnahmen sowie Patches können Probleme mit anderen Anwendungen (z. B.: Endpoint Protection) nach sich ziehen.
Wie wurden die Schwachstellen entdeckt?
Die Sicherheitslücken wurden von mindestens drei verschiedenen Gruppen entdeckt (u. a. Google Project Zero, Cyberus Technology und der Technischen Universität Graz) und bereits im Juni 2017 offen gelegt. Details zu den Schwachstellen tauchten jedoch erst am 3. Januar 2018 auf. Es scheint, dass die betroffenen Unternehmen die Nachrichten geheim halten wollten, bis entsprechende Fehlerbehebungen (Fixes) veröffentlicht werden konnten.

Welche Fragen sind noch offen?
Wie einfach ist es, ein Exploit der Schwachstellen tatsächlich durchzuführen?
Berichte über tatsächlich getätigte Meltdown und Spectre-Angriffe gab es bislang keine. Während eine Analyse des Digital Shadows des Spectre-POC-Codes korrekt funktionierte, ist die Komplexität und Machbarkeit eines Spectre-Angriffs auf andere Geräte und Systeme über "speculative execution" noch unklar.

Wie können potentielle Angreifer die Schwachstellen für Angriffe nutzen?
Die Exploit-Szenarien zählen zu den größten Unbekannten. Grundsätzlich lassen sich über Meltdown und Spectre sensible Daten wie Verschlüsselungs-Code und Passwörter abgreifen, die wiederum für künftige Angriffe genutzt werden können. Das betrifft auch IoT-Anwendungen, die zudem in der Regel seltener mit Updates versehen werden als Heim- oder Arbeitscomputer. Welche Folgen das Ausnutzen einer Sicherheitslücke für IoT-Geräte haben kann, demonstrierte das Mirai-Botnet im letzten Jahr.

Wie können Cyberkriminelle noch auf anderer Weise von Meltdown und Spectre profitieren?
Digital Shadows hat auf einschlägigen Foren Diskussionen verfolgt, in denen angeblich Exploits bereits für 8.900 US-Dollar auf der Shadow Broker-Plattform "Scylla Hacking Store" zum Verkauf stehen. Es ist davon auszugehen, dass es sich dabei um den ersten von vielen Versuchen im Dark Web handelt, von dem momentanen Medienhype auch finanziell zu profitieren.
Bildmaterial zum Download:

Spectre Proof of Concept Exploit wurde auf Ubuntu 16.04 VM von Digital Shadows getestet.
(Digital Shadows: ra)

Mehr auch bei Wikipedia
https://de.wikipedia.org/wiki/Meltdown_(Sicherheitslücke)
https://de.wikipedia.org/wiki/Spectre_(Sicherheitslücke)

eingetragen: 07.01.18
Home & Newsletterlauf: 01.02.18



Meldungen: Sicherheitslecks

  • Neue Technik findet Sicherheitslücke

    Als Forscher 2018 die Sicherheitslücken Meltdown und Spectre bei bestimmten Prozessoren entdeckten, waren vor allem Chiphersteller von High-end-Prozessoren wie Intel betroffen. Zunutze gemacht hatten sie sich hier sogenannte Seitenkanäle der Hardware, mit denen sie an Daten gelangt sind. Dass es ähnliche Lücken auch bei anderen Prozessoren gibt, haben nun Forscher aus Kaiserslautern und Stanford gemeinsam erstmals gezeigt. Diese Prozessoren spielen etwa in sicherheitsrelevanten Bereichen von eingebetteten Systemen eine Rolle, zum Beispiel beim Autonomen Fahren. Abhilfe schafft ein Verfahren, das die Forscher entwickelt haben. Es spürt die Lücken schon beim Entwickeln der Hardware auf.

  • Sicherung industrieller Steuerungssysteme

    Die Experten von Kaspersky Lab haben in der IoT-Plattform "ThingsPro Suite" sieben neue, bisher unbekannte Schwachstellen (Zero Day) entdeckt und geholfen, diese zu schließen. Die im industriellen Umfeld eingesetzte Lösung ermöglicht die Datenerfassung und Remote-Analyse industrieller Kontrollsysteme (ICS, Industrial Control Systems). Einige der identifizierten Sicherheitslücken hätten Cyberangreifern die Möglichkeit eröffnet, umfassend auf industriell genutzte IoT-Gateways zuzugreifen und für Arbeits- und Produktionsabläufe folgenschwere Befehle auszuführen. Alle identifizierten Schwachstellen sind inzwischen von Moxa, dem Entwickler der Plattform, behoben worden.

  • Open Source-Software: Sicher für Unternehmen?

    Das Secure Copy Protocol (SCP) ist ein Protokol zur verschlüsselten Datenübertragung und soll so mehr für Sicherheit tragen. Nun hat eine neue Studie ergeben, dass mehrere Schwachstellen in verschiedenen SCP-Anwendungen gefunden wurden und zeigt, dass SCP möglicherweise nicht so sicher ist, wie man denkt. Die von Harry Sintonen, Senior Security Consultant bei F-Secure, durchgeführte Studie identifizierte Schwachstellen in den Anwendungen WinSCP, Putty PSCP und OpenSSH. Harry Sintonen erstellte einen Proof-of-Concept für den Angriff, mit dem er Dateien im SCP-Zielverzeichnis des Clients unbemerkt schreiben/überschreiben, die Berechtigungen des Verzeichnisses ändern und die Ausgabe des Clients manipulieren kann. Ein Angreifer kann die Schwachstellen ausnutzen, um eine Hintertür oder andere Malware in ein Unternehmensnetzwerk zu installieren, vertrauliche Informationen zu stehlen oder praktisch jede andere Aktion nach der Infiltration durch zu führen.

  • Geleakte Produktionsdaten identifizieren

    Trend Micro warnt Unternehmen vor möglichen Sicherheitslücken in ihrer Betriebstechnologie (Operational Technology, OT). Forscher des japanischen IT-Sicherheitsanbieters entdeckten massive Schwachstellen und gefährdete Anwendungen von zwei weit verbreiteten Protokollen für die Machine-to-Machine-Kommunikation (M2M-Kommunikation). Betroffen sind die Protokolle Message Queuing Telemetry Transport (MQTT) und Constrained Application Protocol (CoAP). Sie werden in einem neuen Forschungsbericht, The Fragility of Industrial IoT's Data Backbone, beschrieben, der in Zusammenarbeit mit der Polytechnischen Universität Mailand entstand. Darin weisen die Forscher auch auf die wachsende Bedrohung durch den Missbrauch dieser Protokolle für Zwecke der Industriespionage, Denial-of-Service-Attacken und zielgerichtete Angriffe hin.

  • Kontrolle über ein betroffenes System

    Microsoft gönnt allen IT-Verantwortlichen im Oktober eine kleine Verschnaufpause - zumindest, was die aktuellen Updates anbetrifft. Zum Patch Tuesday vermeldet Redmond gerade einmal einen Zero Day Exploit und eine Schwachstelle, die öffentlich bekannt gegeben wurde. Und was noch erstaunlicher ist: Es gab in diesem Monat kein einziges Sicherheitsupdate für Adobe Flash. Die Zero-Day-Schwachstelle CVE-2018-8453 findet sich in der Win32-Komponente des Microsoft-Betriebssystems, bei der Objekte im Arbeitsspeicher nicht ordnungsgemäß behandelt werden. Ein Angreifer muss sich zunächst am Betriebssystem anmelden, kann dann aber diese Schwachstelle ausnutzen, um Code im Kernel auszuführen und Administratorrechte zu erhalten. Diese Schwachstelle hat einen Basis-CVSS-Wert von 7. Unglücklicherweise ist sie in allen Betriebssystemen mit Updates vorhanden - angefangen von Server 2008 bis hin zu Windows 10.