Meltdown und Spectre

Nette Logos für zwei böse Sicherheitslöcher wurden schnell entwickelt. Es hat aber schon sehr lange gedauert, bis nach der Entdeckung im Sommer 2017 und der "Veröffentlichung" im Dezember 2017 dann im Januar die ersten Updates als Schutz verteilt wurden. DAs Problem ist aber mitnichten so schnell gelöst, denn als Fehler im Prozessor aller namhaften Hersteller (Intel, AMD; ARM) sind auch alle Betriebssysteme (Windows, Linux, Android, MacOS, IOS) betroffen.

Die Lücke ist ernst zu nehmen und basiert darauf, dass ein Programm quasi von der Seite in Bereiche eines anderen Programms schauen kann und so Daten im Speicher auslesen kann. Das ist natürlich z.B. auf Domain Controllern (Kennworte) interessant oder alle anderen Business Anwendungen, die Zugangsdaten oder Nutzdaten im Speicher vorhalten. Voraussetzung ist nach aktueller Lage aber, dass das Spion-Programm auf dem gleichen System gestartet wird. Das kann aber auch ein JavaScript im Browser sein.

Es ist noch nicht klar, wie das Problem genau gefixt werden kann. Der Fehler ist natürlich im Prozessor zu suchen aber es gibt Aussagen, dass dort ein Fix über den Microcode gar nicht möglich sei und die CPUs getauscht werden müssten, was unrealistisch ist Daher sind wohl Entwickler der verschiedenen Betriebssysteme (Windows, Unix, Android) daran ihren Kernel so anzupassen, dass diese Zugriffe verhindert werden, die ansonsten eigentlich von der CPU (Protected Mode) erfolgen sollte.

Empfehlungen von Microsoft

Als Fehler des Prozessors sind natürlich auch alle Windows Versionen und darauf installierte Diente betroffen. Folgende Empfehlungen hat Microsoft veröffentlich.

Performance-Einfluss der Updates

Mittlerweile gibt es entsprechende Updates von Herstellern und Intel und es werden immer mehr auch ältere Systeme aktualisiert. Allerdings kosten die zusätzlich eingeführten Abfragen natürlich CPU-Zyklen und wenn die CPU auch noch beim Disk-I/O (iSCSI, Storage Spaces, Software-RAID, Bitlocker) beschäftigt ist, dann wird auch diese Komponente langsamer. Die Auswirkungen sind aber pro Produkt individuell

Wichtiger Hinweis: Eine Verschlechterung kann nur derjenige messen, der vorher schon die CPU-Last und End2End-Performance regelmäßig erfasst.
Sie sollten auf jeden Fall daher die "normale" CPU-Last ihrer Systeme kontinuierlich überwachen um Veränderungen nach Updates zu erkennen.

Wenn Sie diese Seite lesen, werden Sie vermutlich schon die Updates installiert haben oder kurz vor der Installation stehen. Dann ist es eigentlich zu spät über den Sinn und Unsinn eines Monitoring der Server und Service-Performance zu diskutieren. Ich habe meine Server natürlich in einem Monitoring und überwache sowohl die CPU-Belastung als auch einige Kennzahlen. Entsprechende Skripte und Tools finden Sie dazu auch auf Ende zu Ende Monitoring.

Sobald ich ein paar Messwerte über mehrere Tage und entsprechende Aussagen und Blogs anderer Quellen zusammen gesammelt habe, werde ich hier weiter berichten.

Gegenmaßnahme der Browser

Der ein Angriff auch per JavaScript erfolgen kann, reicht der Besuch einer präparierten Webseite schon aus, um Informationen auszuleiten. Auch wenn es nicht die Ursache an der Wurzel bekämpft, so ist es es keine schlechte Idee diesen Angriffsvektor auch zu verschließen. Die ersten Browser-Hersteller haben schon entsprechende Anpassungen zum Schutz vorgenehmen.

Allerdings müssen Sie natürlich auch die Updates verteilen. Das machen einige Browser aber schon selbst.

Gegenmaßnahmen Windows

Für die Windows Plattform hat Microsoft einen entsprechenden Fix in ein gesondertes Security Update gepackt und außer der Reihe im 3. Januar 2018 bereit gestellt

Für andere Versionen von Windows 10 gibt es eigene Updates

Windows Version Update

Windows 10 - 1709 (Build 16299.125, Build 16299.192)

KB4056892

Windows 10 - 1703 (Build 15063.786, Build 15063.850

KB4056891

Windows 10 - 1607 (Build 14393.1944, Build 14393.2007)

KB4056890

Windows 10 - 1511 (Build 10586.1295, Build 10586.1356)

KB4056888

Windows 10 - 1507 (Build 10240.17709, Build 10240.17738)

KB4056893

Prüfen Sie vorab aber auf jeden Fall, ob ihr Virenscanner mit dem Update kompatibel ist.

Andere Betriebssysteme

Ich habe Anfangs schon gesagt, dass es ein CPU-Problem ist und damit jedes Betriebssystem betroffen sein kann. So ist es auch nicht verwunderlich, dass auch Linux, MaxOS, IOS und andere entsprechend an dem Thema arbeiten:

Andere Systeme

Prozessoren gibt es nicht nur in "PCs". Gerade in Skype for Business sind natürlich auch "Telefone" schon kleine Computer mit Prozessor,

The risk of this vulnerability is rated as moderate to low for Mitel products. To successfully exploit these vulnerabilities, the attack vector requires malicious code executing on the same processor. Many Mitel products do not support installing custom software and are not directly vulnerable when running on dedicated systems. https://www.mitel.com/mitel-product-security-advisory-18-0001 

The Polycom VVX family of phones are not susceptible to Spectre or Meltdown. They do not allow software to be installed on them which would prohibit malicious code from being loaded and they are lacking the software libraries needed for malicious software to be pushed from the web. None of the vectors needed for Spectre or Meltdown are present in any of the VVX phones. https://support.polycom.com/content/dam/polycom-support/global/documentation/spectre-meltdown-vulnerability-1-7.pdf

Update für BIOS und Microcode

Anfang hieß es, dass der Bug in der CPU nicht durch ein Update des Microcode zu lösen wäre. Später hat sich dann Intel so geäußert, dass es für 90% aller CPUs entsprechende Updates bereitstellen will. In einem KB-Artikel von Microsoft wird auch darauf hingewiesen, dass die verfügbaren Updates nicht allein das Problem lösen. Ich gehe davon aus, dass Intel auch für diesen Security Advisor "SA00088" ein Tool zur Prüfung veröffentlicht, wie dies für frühere Bugs auch der Fall ist

Intel-SA-00088 Detection Tool
Noch kein Link verfügbar

Es gibt nun auch schon erste BIOS-Updates/Firmware-Updates, die ebenfalls Schutz vor diesen Angriffen bieten sollen. Ich kann ihnen leider nicht sagen, ob allein so ein Update dann das Update des Betriebssystems oder der Applikation obsolet machen. Darauf verlassen würde ich mich nicht. Vielleicht sind die Updates im Betriebssystem ja schlau genug ihre Schutzvorkehrung nur auf betroffenen Systemen zu aktivieren.

Intel selbst scheint keine Updates zu verteilen, sondern überlässt dies den Herstellern, die über ein BIOS-Update auch den Microcode des Prozessors aktualisieren. Das macht auch Sinn, da aus Schutzüberlegungen (UEFI) heute auch BIOS-Updates digital signiert sind und das Boards natürlich nicht jedem Programm erlauben kann den Code im Prozessor zu verändern. Allerdings bedeutet dies auch, dass Sie als Käufer nun auf den Hersteller warten müssen. Speziell im Consumer-Bereich sehe ich das als echte Herausforderung.

Weitere Links