Meltdown und Spectre – Die Monsterschwachstellen in CPUs und was Sie tun sollten

Mit den beiden Schwachstellen Meltdown und Spectre wurden Anfang dieses Jahres zwei schwerwiegende Schwachstellen in CPU-Designs bekannt, welche nahezu alle CPUs betreffen, die in den letzten 20 Jahren verbaut wurden.

Nun überschlagen sich Meldungen zu Performance-Einbußen nach der Installation von Patches (was sich aktuell nicht zu bestätigen scheint), die Schwachstelle hat es in die Tagesschau geschafft und die Welt titel, die Schwachstellen „gefährden Computer und Smartphones weltweit„.
Was aber die wenigsten wirklich betrachten, ist die wahre Gefährdung, die von den Lücken ausgeht. Für Schwachstellen gibt es bereits seit 2005 das Bewertungssystem CVSS mit Hilfe dessen Schwachstellen nach Bekanntwerden bewertet werden. Dabei spielen verschiedene Faktoren eine Rolle, z.B.: Angriffsvektor, Komplexität, Schadpotential, Ausnutzbarkeit und weitere. Die Skala reicht dabei von 1-10. Der vergebene Score für diese Attacken liegt bei 5,1. Im vergangenen Jahr lagen dabei 7155 (von 14324) Schwachstellen – also ca. 50% aller bekannt gewordenen Schwachstellen bei einem höheren Score. Warum also der ganze Hype?

Niemand ist nicht betroffen

Meltdown ist ein Teil des Problems, das durch Security Patches der Betriebssystem-Hersteller gelöst werden kann. Die meisten haben bereits reagiert, und da es bereits einen Proof of Concept gibt, wird es nicht lange dauern, bis erste Schadsoftware die Lücke ausnutzt, um beispielsweise gezielt Zugangsdaten zu stehlen.

Sie sollten also unbedingt alle Sicherheitsupdates installieren!*

*Allerdings nicht ohne vorher die Kompatibilität Ihres Anti-Virus-Programms zu prüfen! Einige Anti-Virus-Programme nutzen spezielle Kernel-Commands, die nach dem Patch nicht mehr funktionieren. Um das herauszufinden, prüfen Sie das am besten mit dieser Tabelle. Oder noch besser auf den Supportseiten Ihres Anti-Virus-Herstellers. Dabei suchen Sie in dessen Support FAQ nach „Microsoft KB4056892“.

Was passiert im schlimmsten Fall?

Die Angriffsszenarien, die derzeit beschrieben werden, sind aus IT-Security-Sicht wahre Horrorszenarien: Schlüssel und Passwörter können ausgelesen werden, ohne dass Anwender oder Hersteller eine realistische Chance haben dies zu erkennen oder zu verhindern.

Das ist beispielsweise durch aktive Inhalte (Java Script) einer bösartigen Webseite möglich.

Welches Problem besteht?

Es handelt sich wie beschrieben um einen Seitenkanal-Angriff über den Prozessor Kernel Cache. Einfach ausgedrückt: Ein Prozess eines Systems kann die Daten eines anderen Prozesses lesen. Die gute Nachricht: Über diesen Angriff kann nicht manipuliert – also gelöscht oder verändert werden. Das ist aber ein recht schwacher Trost. Immerhin können sogar Klartextpasswörter ausgelesen werden.

Die meisten Browserhersteller (Mozilla Firefox – verfügbar, Microsoft Edge – verfügbar für Win10, Apple Safari – in Arbeit, Google Chrome – ab 23. Januar) haben deshalb bereits reagiert, um Ihre Nutzer vor sogenannten Drive-By Exploits, welche die Schwachstelle ausnutzen, zu schützen. Das kann der Bowser in den meisten Fällen aber nur für „Meltdown“ verhindern und nicht für „Spectre“.

Warum ist das ein Cloud-Problem?

In Cloud-Systemen ist die Lage anders. Die Hardware, die für eine Cloud-Applikation oder einen Server verwendet wird, ist keine echte Hardware. Es handelt sich in der Regel um virtuelle Maschinen, welche sich physikalische Hardware teilen. Auch wenn Virtualisierung bislang nur selten von schwerwiegenden Bugs betroffen war, die wie in diesem Beispiel das Ausbrechen aus einer virtuellen Maschine erlaubten, so ist die Lage hier extrem.

Bei Cloud-Diensten wie Amazon Web Services (AWS) oder Google Cloud oder Microsoft Azure oder, oder, teilen sich alle Nutzer eine Hardware. Somit ist es denkbar, über eine virtuelle Maschine kritische Informationen einer weiteren auszulesen. Das ist zugegeben ein Horrorszenario. Und was Meltdown angeht, haben die meisten Cloud-Anbieter wie Amazon, Google und Microsoft bereits reagiert und ihre Systeme bis spätestens 10. Januar gepatcht. Viele Cloudprovider setzen jedoch auf SmartOS – einen OpenSource Ableger von Solaris, wofür noch keine Patches verfügbar sind.

Hinzukommt, dass Spectre von anderer Qualität ist und es wird eine Frage der Zeit sein, bis diese Schwachstelle aktiv ausgenutzt wird.

Was sollte man zum Schutz unternehmen?

Wie immer gilt: Updates installieren. Anschließend prüfen und die fehlenden Updates auch installieren, und wenn noch Patches fehlen, diese auch installieren. Das sind insbesondere

  • alle Betriebssystem Updates
  • Updates des Hardware-Lieferanten (BIOS, Treiber, etc.)
  • Adobe Flash, Adobe Reader, Java, Office Produkte, alles was sonst noch an zusätzlicher Software installiert wurde
  • Alle Browser und Mailclients

Außerdem sollten Sie wie immer besonders vorsichtig beim Surfen sein: Besuchen Sie nur vertrauenswürdige Websites, Klicken Sie nicht auf Links in E-Mails, Kommentaren, etc.

Nutzen Sie außerdem sichere und lange Passwörter. Und natürlich je Dienst unterschiedliche. Wie das geht, habe ich hier beschrieben. Und meine Kollegin hat eine Reihe Tutorials zu Keepass als Passwortmanagementsystem veröffentlicht.

Außerdem sei gesagt: Es war eigentlich noch nie eine gute Idee sensible Daten auf fremden Systemen zu verarbeiten. Neben der Kontrolle über den Zugang verliert man die Hoheit über die Daten und schlimmstenfalls kann noch nicht mal die Integrität gewährleistet werden. Übliche Gegenmaßnahmen, wie z.B. Verschlüsselung sind nun zusätzlich gefährdet.

Mein Ratschlag deshalb: Nutzen Sie cloudbasierte Systeme nur für Daten, auf die Sie im Zweifelsfall verzichten könnten, oder deren Offenlegung nicht geschäftskritisch ist. Die Einschätzung, welche Daten das sind, können nur Sie selbst treffen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA *