SumUp: Spectre, Meltdown & Co. – Ein Überblick der letzten Monate

Anfang vergangenen Jahres wurde mit der Bekanntmachung der Sicherheitslücken Spectre und Meltdown die Welt in Angst und Schrecken versetzt. Mein Kollege hatte zügig mittels Blogpost für Klarheit gesorgt und einen Überblick der chaotischen Situation geschildert. Doch was hat sich nun, 17 Monate nach dem Veröffentlichen der Angriffe, geändert und wie wurde gegen die Angriffe vorgegangen?

Patches und weitere Schwachstellen

Einige Patches, Microcodeupdates und Hotfixes wurden in den vergangenen Monaten veröffentlicht, allerdings wurden ebenfalls immer weitere Variationen des Spectre-Exploits bekannt (Spectre-NG, Spectre V3a, Spectre V4, Foreshadow, usw.).
Schien eine bekannte Schwachstelle mittels Patch oder Microcodeupdate erfolgreich bereinigt worden zu sein, folgte kurze Zeit später eine andere Variation der Lücke.
Entsprechend hatten wir einen stetigen Nachrichtenwechsel von Update und neuem bzw. geändertem Angriffsvektor.
Daraus resultierten unzählige registrierte CVEs zu Variationen der ursprünglichen Spectre & Meltdown Exploits, was einen vernünftigen Überblick erheblich erschwert.
Darüber hinaus stellte sich heraus, dass einige dieser Patches zu starken Performance-Einbußen geführt hatten. Teilweise von bis zu 21%, wie man einem Benchmark der hauptsächlich betroffenen Intel Prozessoren entnehmen kann.

ZombieLoad, Fallout, RIDL & Co.

Jüngst wurden einige weitere Sicherheitslücken bekannt, welche ähnlich wie Spectre & Meltdown Architekturschwachstellen in bekannten CPUs ausnutzen, um an Daten zu gelangen.
Konkret werden hierbei erneut vorwiegend unterschiedliche Cache-Speicher in den CPUs genutzt, um unbefugt Daten zu erhalten.
Dies ist ganz besonders ärgerlich, da die involvierten Sicherheitsforscher diese Art des Exploits bereits in ihrem Whitepaper zu Meltdown erwähnt hatten. Konkret heißt es zusammengefasst auf der Website der neuen Exploits:
[…]that an attacker can leak data using Meltdown that is not stored in the L1 cache but in one of the line fill buffers.
Mit anderen Worten: Genau diese Exploits, welche Load Ports, Store Buffer und Line Fill Buffer nutzen, wurden schon vor über einem Jahr von den Verantwortlichen im Meltdown-Whitepaper, jener Angriff welcher den L1-Cache nutzt, geschildert.
Hierbei handelt es sich um Randbemerkungen, die darauf hinweisen, dass sich die damals gefundenen Sicherheitslücken auch auf andere Architekturschwachstellen anwenden lassen.
Durchgeführt wurden sie damals nicht explizit, da Meltdown lediglich am L1-Cache getestet wurde.
Fraglich ist also, warum sich die CPU-Hersteller nicht darum gekümmert haben. Scheinbar war es erst nötig, eigene Whitepaper zu diesen Variationen zu veröffentlichen, bis die Ernsthaftigkeit dieser hochkritischen Lücken bewusst geworden ist.
Dies erklärt vielleicht auch die etwas spöttisch registrierte Domain cpu.fail , unter welcher man die Whitepaper zu den „neuen“ Sicherheitslücken finden kann.
Besonders eindrucksvoll ist auch ein Demonstrationsvideo auf der Website des ZombieLoad Attacks, welches zeigt, wie Daten aus einer virtuellen Maschine, mit der auf Privatsphäre spezialisierten Linux-Distribution „Tails“ – und aus dem dort verwendeten TOR-Browser – ausgelesen werden.

Verbesserungen seit dem letzten Supergau

Die Zusammenarbeit zwischen Prozessorherstellern und Kernelentwicklern schien dieses Mal besser funktioniert zu haben, als beim Chaos der ersten Veröffentlichungen des vergangenen Jahres.
So gelang es den Entwicklern des Linuxkernels just in einer Stunde einen Patch für den Linuxkernel zu liefern.

Was bedeutet das für den Alltag?

Wie auch schon bei Spectre & Meltdown, handelt es sich um äußerst komplexe Angriffsmethoden, welche längere Vorbereitung und gezielte Angriffe vorraussetzen.
Außerdem muss, je nach verwendetem Exploit, der Angriff über einen längeren Zeitraum erfolgen. Öffentlich bekannte Fälle von Firmen oder Individuen, welche Opfer dieser oder anderer Variationen dieser Exploits wurden, sind nicht bekannt. Ob dies jedoch geschehen ist, lässt sich damit weder ausschließen noch bestätigen.
Insbesondere stellen diese Schwachstellen erneut ein großes Problem für Cloud-Betreiber dar, da es wiedereinmal möglich ist, Daten aus anderen, virtualisierten Instanzen zu erhalten, vor allem dann, wenn diese auf dem gleichen Kern virtualisiert sind.
Da dieses Sicherheitsrisiko vor allem bei Cloud-Diensten einen großen Einfluss hat gilt hier, wie auch schon beim letzten Mal, die Regel nur die nötigsten Daten auf Cloud-Systemen abzulegen.
Diese Sicherheitslücken lassen sich aber nicht nur auf Cloud-Dienste reduzieren. Eine Liste mit betroffenen Intel CPUs lässt sich hier einsehen. Dementsprechend ist jegliche Hardware mit solch verbauten CPUs anfällig. Also auch viele Heimanwender oder Mitarbeiter mit Firmen-Hardware.
Um sich zu schützen, sollte man stehts die neuesten Updates einspielen, auch wenn diese teilweise zu signifikanten Performance-Einbußen führen können.
Updates sollten nicht nur für das Betriebssystem, sondern auch für Hardware (BIOS, Treiber, etc.) installiert werden. Hevorzuheben ist, dass einige Systemhersteller lediglich ein Firmware-Update (BIOS/UEFI) mittels Windows Excecutable ermöglichen. Auf anderen Betriebssystemen ist oftmals gar nicht ersichtlich, dass vom Hersteller Firmware-Updates bereitgestellt sind, da keine Prüfmechanik existiert. Hier ist formal der gesamte Wartungs- und Update-Prozess zu verifizieren. Jegliche verwendete Software (Office, Mailclients, Webbrowser, etc) sollten Sie selbstverständlich ebenfalls so aktuell wie möglich halten.
Darüber hinaus sollten Sie beim Nutzen des Internets, wie immer, achtsam vorgehen. Klicken Sie nicht auf jeden Link, laden Sie sich keine Software runter, welche nicht von vertrauenswürdiger Quelle kommt und vor allem, stecken Sie nicht jeden beliebigen USB-Stick in Ihre (Firmen-)Geräte!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA *