- Anzeigen -


Sie sind hier: Home » Virenwarnung » Sicherheitslecks

Was sind Meltdown und Spectre?


Meltdown und Spectre: Die wichtigsten Fragen und Antworten zu den zwei Schwachstellen in Prozessoren im Überblick
Die Schwachstellen befinden sich in den grundlegendsten Funktionen von Computerprozessoren

- Anzeigen -





Nach den ersten Berichten über die bekannt gewordenen Schwachstellen in Mikroprozessoren, arbeiten die betroffenen Chiphersteller mit Hochdruck an einer industrieweiten Lösung. Mit täglich neuen Details und Meldungen von Seiten der Sicherheitsexperten und Unternehmen bleibt die Lage unübersichtlich. Digital Shadows hat die wichtigsten Fragen und Antworten zusammengestellt.

Die Meltdown und Spectre getauften Sicherheitslücken ermöglichen es Angreifern, auf Systemspeicherinformationen im Kernel, dem privilegiertesten Bereich moderner Betriebssysteme, zuzugreifen. Der Kernel verwaltet Prozesse wie das Starten und Beenden von Anwenderprogrammen, Sicherheitseinstellungen, Speicherverwaltung und die Steuerung von Hardware wie Speicher- und Netzlaufwerken.

Über einen Exploit von Meltdown ist das Umgehen des Mechanismus zwischen Betriebssystem und Anwendungen möglich. Dies kann dazu führen, dass Passwörter und andere sensible Daten, die im Arbeitsspeicher des Systems gespeichert sind, ungeschützt bleiben. Die Schwachstelle kann über CVE-2017-5754 nachverfolgt werden.

Über Spectre lassen sich Angriffe starten, die die Isolierung zwischen den Anwendungen umgehen. Dabei wird das sogenannte "speculative execution" Chipverfahren ausgenutzt, das von so gut wie allen modernen Prozessoren zur Performance-Steigerung genutzt wird. Unter bestimmten Bedingungen lässt sich der Prozessor derart manipulieren, dass zurückkehrende Daten aus anderen Anwendungen sowie sensible Daten abgefangen werden. Der Exploit lässt sich über CVE-2017-5753 und CVE-2017-5715 nachverfolgen. Digital Shadows-Analysten testeten einen Proof-of-Concept-Code, auf den im Whitepaper von Spectre verwiesen wird und der korrekt funktionierte.

Wer ist betroffen?
Die Schwachstellen befinden sich in den grundlegendsten Funktionen von Computerprozessoren. Damit ist so gut wie jeder betroffen, der einen Computer nutzt – vom Heim-PC und Notebook über Smartphone und Tablet bis hin zu komplexen Systemen in Industrie und Verwaltung. Während Meltdown Experten zufolge "nur" Intel-Chips betrifft, ist Spectre in Mikroprozessoren von AMD und dem Chip-Entwickler ARM zu finden, womit auch mobile Geräte gefährdet sind. Auch Apple gab an, dass iPhones, iPads und Mac-Computer betroffen seien. Cloud-Umgebungen sind ebenfalls gefährdet, da potentielle Angreifer aus einem einzelnen Anwenderprozess "ausbrechen" können, um auf andere Prozesse zuzugreifen, die auf dem gemeinsam genutzten Server laufen.

Was sollten Anwender tun?
Eine Vielzahl an Anbietern, darunter auch Microsoft, Google, Android und Mozilla, haben bereits Advisories zur ihren betroffenen Produkten veröffentlicht. Digital Shadows hat eine Liste der jeweiligen Websites zusammengestellt. Generell raten sowohl die IT-Unternehmen als auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) dringend zu einem schnellen Update von Geräten. Hier gibt es jedoch einiges zu beachten:

Patches für Meltdown stehen zwar bereit; es gibt jedoch derzeit keinen speziellen Patch für Spectre, wobei nach US CERT mit hoher Wahrscheinlichkeit ein Hardware-Fix nötigt ist, um die Auswirkungen vollständig abzumildern.
Die Mitigation-Maßnahmen wirken sich auf die Systemleistung aus und verlangsamen Geräte. Daher empfiehlt es sich vorab einen Probelauf durchzuführen.

Die Mitigation-Maßnahmen sowie Patches können Probleme mit anderen Anwendungen (z. B.: Endpoint Protection) nach sich ziehen.
Wie wurden die Schwachstellen entdeckt?
Die Sicherheitslücken wurden von mindestens drei verschiedenen Gruppen entdeckt (u. a. Google Project Zero, Cyberus Technology und der Technischen Universität Graz) und bereits im Juni 2017 offen gelegt. Details zu den Schwachstellen tauchten jedoch erst am 3. Januar 2018 auf. Es scheint, dass die betroffenen Unternehmen die Nachrichten geheim halten wollten, bis entsprechende Fehlerbehebungen (Fixes) veröffentlicht werden konnten.

Welche Fragen sind noch offen?
Wie einfach ist es, ein Exploit der Schwachstellen tatsächlich durchzuführen?
Berichte über tatsächlich getätigte Meltdown und Spectre-Angriffe gab es bislang keine. Während eine Analyse des Digital Shadows des Spectre-POC-Codes korrekt funktionierte, ist die Komplexität und Machbarkeit eines Spectre-Angriffs auf andere Geräte und Systeme über "speculative execution" noch unklar.

Wie können potentielle Angreifer die Schwachstellen für Angriffe nutzen?
Die Exploit-Szenarien zählen zu den größten Unbekannten. Grundsätzlich lassen sich über Meltdown und Spectre sensible Daten wie Verschlüsselungs-Code und Passwörter abgreifen, die wiederum für künftige Angriffe genutzt werden können. Das betrifft auch IoT-Anwendungen, die zudem in der Regel seltener mit Updates versehen werden als Heim- oder Arbeitscomputer. Welche Folgen das Ausnutzen einer Sicherheitslücke für IoT-Geräte haben kann, demonstrierte das Mirai-Botnet im letzten Jahr.

Wie können Cyberkriminelle noch auf anderer Weise von Meltdown und Spectre profitieren?
Digital Shadows hat auf einschlägigen Foren Diskussionen verfolgt, in denen angeblich Exploits bereits für 8.900 US-Dollar auf der Shadow Broker-Plattform "Scylla Hacking Store" zum Verkauf stehen. Es ist davon auszugehen, dass es sich dabei um den ersten von vielen Versuchen im Dark Web handelt, von dem momentanen Medienhype auch finanziell zu profitieren.
Bildmaterial zum Download:

Spectre Proof of Concept Exploit wurde auf Ubuntu 16.04 VM von Digital Shadows getestet.
(Digital Shadows: ra)

Mehr auch bei Wikipedia
https://de.wikipedia.org/wiki/Meltdown_(Sicherheitslücke)
https://de.wikipedia.org/wiki/Spectre_(Sicherheitslücke)

eingetragen: 07.01.18
Home & Newsletterlauf: 01.02.18



Meldungen: Sicherheitslecks

  • Geleakte Produktionsdaten identifizieren

    Trend Micro warnt Unternehmen vor möglichen Sicherheitslücken in ihrer Betriebstechnologie (Operational Technology, OT). Forscher des japanischen IT-Sicherheitsanbieters entdeckten massive Schwachstellen und gefährdete Anwendungen von zwei weit verbreiteten Protokollen für die Machine-to-Machine-Kommunikation (M2M-Kommunikation). Betroffen sind die Protokolle Message Queuing Telemetry Transport (MQTT) und Constrained Application Protocol (CoAP). Sie werden in einem neuen Forschungsbericht, The Fragility of Industrial IoT's Data Backbone, beschrieben, der in Zusammenarbeit mit der Polytechnischen Universität Mailand entstand. Darin weisen die Forscher auch auf die wachsende Bedrohung durch den Missbrauch dieser Protokolle für Zwecke der Industriespionage, Denial-of-Service-Attacken und zielgerichtete Angriffe hin.

  • Kontrolle über ein betroffenes System

    Microsoft gönnt allen IT-Verantwortlichen im Oktober eine kleine Verschnaufpause - zumindest, was die aktuellen Updates anbetrifft. Zum Patch Tuesday vermeldet Redmond gerade einmal einen Zero Day Exploit und eine Schwachstelle, die öffentlich bekannt gegeben wurde. Und was noch erstaunlicher ist: Es gab in diesem Monat kein einziges Sicherheitsupdate für Adobe Flash. Die Zero-Day-Schwachstelle CVE-2018-8453 findet sich in der Win32-Komponente des Microsoft-Betriebssystems, bei der Objekte im Arbeitsspeicher nicht ordnungsgemäß behandelt werden. Ein Angreifer muss sich zunächst am Betriebssystem anmelden, kann dann aber diese Schwachstelle ausnutzen, um Code im Kernel auszuführen und Administratorrechte zu erhalten. Diese Schwachstelle hat einen Basis-CVSS-Wert von 7. Unglücklicherweise ist sie in allen Betriebssystemen mit Updates vorhanden - angefangen von Server 2008 bis hin zu Windows 10.

  • Nutzer sollten ihre Whatsapp-Version überprüfen

    Eine Sicherheitslücke in Whatsapp kann derzeit nur die App zum Absturz bringen. Kriminelle könnten den kursierenden Exploit aber für bösartige Zwecke weiterentwickeln. Wir geben einen Überblick über die Situation. "Nutzer sollten ihre Whatsapp-Version überprüfen und wenn möglich die Updates über den Play Store einspielen." Das sagt Alexander Burris, Lead Mobile Researcher bei der G DATA Software AG aus Bochum. Aktuell kursiert eine Sicherheitslücke für den beliebten Mobile-Messenger Whatsapp. Der aktuelle Exploit bringt die Applikation kontrolliert zum Absturz. Kriminelle könnten die Schwachstelle für ihre Zwecke weiterentwickeln und als Einfallstor nutzen.

  • Offene und ungeschützte MQTT-Server

    Avast hat entdeckt, dass über 49.000 Message Queuing Telemetry Transport (MQTT) Server aufgrund eines falsch konfigurierten MQTT-Protokolls online öffentlich sichtbar sind. Darunter befinden sich 32.000 Server ohne Passwortschutz - davon 1.719 in Deutschland - wodurch die Gefahr eines Datenmissbrauchs steigt. MQTT-Protokolle werden genutzt, um Smart-Home-Geräte über Smart Hubs miteinander zu verbinden und zu steuern. Beim Implementieren des MQTT-Protokolls richten Nutzer einen Server ein. Dieser Server befindet sich bei Endverbrauchern üblicherweise auf einem PC oder einem Mini-Computer wie dem Raspberry Pi, mit dem sich Geräte verbinden und damit kommunizieren können.

  • Testlauf einer Spionagekampagne

    Die am 27. August 2018 auf GitHub und Twitter veröffentlichte Zero Day-Schwachstelle für Microsoft Windows-Bestriebssysteme wurde nach wenigen Tagen in einer ersten Malware-Kampagne ausgenutzt. Eset hat die Malware-Kampagne einer Gruppe namens PowerPool zugeordnet. Bis jetzt gingen den Cyberkriminellen nur eine kleine Anzahl von Opfern in die Falle, wie sich aus den untersuchten Telemetrie-Daten und den Uploads ergibt. Daher glauben wir an einen Testlauf einer Spionagekampagne. Unter den betroffenen Ländern befinden sich Chile, Deutschland, Indien, die Philippinen, Polen, Russland, das Vereinigte Königreich, die Vereinigten Staaten und die Ukraine. Betroffen sind die Windows Betriebssysteme 7 bis 10 - im Speziellen die ALPC-Funktion (Advanced Local Procedure Call).