WinPage

Windows, Web, Software, Hardware & Co

Spectre und Meltdown Sicherheitslücken

1 Kommentar

In den letzten Tagen haben sich die Meldungen zur Spectre und Meltdown Sicherheitslücke überschlagen. Ich will einmal versuchen hier die wichtigsten Informationen zusammenzutragen.

Vereinfacht ausgedrückt liegt ein Problem bei der Verwaltung von Speicherbereichen vor, welches einem Angreifer ermöglicht, ohne Berechtigungsnachweis auf Speicherinhalte fremder Prozesse zuzugreifen. Dies bedeutet, aus einem Browser oder einer Anwendung, die mit normalen Rechten laufen, könnte auf Speicherbereiche des Betriebssystemkerns zugegriffen werden.

Dabei werden insgesamt drei Schwachstellen verschiedener Prozessoren ausgenützt. Angegriffen wird zum einen die “spekulative Befehlsausführung” (speculative execution) und die Umsortierung von Befehlen (out-of-order execution). Der wesentliche Unterschied zwischen Meltdown und Spectre ist die Art der Umsetzung. Meltdown zerbricht generell den Mechanismus, der verhindert, dass auf beliebige Teile im Systemspeicher und damit den Systemspeicher selbst zugegriffen werden kann (beschrieben er CVE-Nummer CVE-2017-5754). Spectre hingegen erlaubt es beliebigen Anwendungen, gezielt diesen Sicherheitsmechanismus auszuhebeln (beschrieben unter den CVE-Nummern CVE-2017-5715 und CVE-2017-5753).

 

Hintergrundinformationen

Bei der “speculative execution” werden verschiedene Befehle im Programmablauf während Zeiten in denen der Prozessor nicht ausgelastet ist schon vorab ausgeführt abwohl sie noch gar nicht gebraucht werden und das spekulative Ergebnis im Cache zwischengespeichert. Dies hinterlässt im Cache eine von außen bemerkbare Spur, auch nachdem das Ergebnis der spekulativen Ausführung verworfen wurde. Bei der “Out-of-order execution” können Maschinenbefehle in den Ausführungseinheiten des Prozessors in einer anderen Reihenfolge ausgeführt werden, als sie im Programmcode stehen. Dadurch können die Stufen der Pipeline besser ausgelastet werden. Die Pipeline ist eine Art Fließband, mit dem die Abarbeitung der Maschinenbefehle in einzelne Teilaufgaben zerlegt wird um sie parallel abarbeiten zu können. Auch hier werden bestimmte Befehle oder Teilaufgaben spekulativ ausgeführt, also ohne zu wissen ob sie später gebraucht werden, und das Ergebnis im Cache zwischengespeichert.

 

Angriffsmöglichkeiten

Bei dem Angriffstyp, den alle drei Lücken ausnutzen, handelt es sich um einen sogenannten Seitenkanalangriff oder side-channel attack. Zur Durchführung des Angriffs wird der angegriffene Prozess also dazu gebracht, bestimmte vom Angreifer eingebrachte Anweisungen spekulativ auszuführen und das Ergebnis im Cache zu speichern. Im wesentlich weniger geschützten Cache sollen diese Informationen dann abgegriffen werden. Die Sicherheitslücke umgeht so auch implementierte Sicherheitsmechanismen wie Sandboxing, die Trennung zwischen Programmcode und vom Benutzer bereitgestelltem Code und ASLR (die zufällige Umsortierung von Speicherzellen).

 

Wer ist betroffen?

Nach allem, was bisher bekannt ist, betrifft Meltdown nur Intel-Prozessoren und kann eher auf schlampige Implementierung zurückgeführt werden. Betroffen sind also alle Desktops, Notebooks aber auch Cloud Systeme unabhängig vom Betriebssystem, die Intel Prozessoren einsetzen, welche die “out-of-order execution” nutzen. Spectre hingegen basiert auf einem grundsätzlichen Fehler in der Architektur von Prozessoren und zieht sich quer durch die gesamte Landschaft von Intel über AMD bis ARM, weshalb hier auch zusätzlich Smartphones und andere Geräte betroffen sind.

Außerdem sind die Sicherheitslücken in der Lage, über speziell präparierte Webseiten sensible Daten von anderen Seiten oder dem Browser selbst abzugreifen, wofür dann in aller Regel speziell bei Spectre JavaScript eine zentrale Rolle spielt,  weshalb eben auch die verschiedenen Browsern ins Blickfeld geraten. Aber auch durch den Download manipulierter Bilder oder ähnlichem kann entsprechender Schadcode auf die Rechner gelangen.

 

Wie kann man sich schützen?

Der momentane Schutz sieht aktuell so aus, die verfügbaren Updates für die Betriebssysteme und die Browser zu installieren. Auch das Blockieren von JavaScript im Browser kann eine Lösung sein. Alle aktuellen Maßnahmen können einen Angriff aber nicht komplett verhindern sondern nur erschweren. Für einen hundertprozentigen Schutz wäre im Moment ein Austausch des Prozessors notwendig. Wobei es bei den meisten Prozessor Herstellern aktuell gar keine Alternative gibt, die von dem Problem nicht betroffen wäre.

Bei den verschiedenen Updates wurde zum einen der SharedArrayBuffer-Standard standardmäßig deaktiviert. Dieser erlaubt die Implementierung hochauflösender Timer in Webanwendungen. Außerdem wurde die Genauigkeit von performance.now(), welcher die präzisen Zeitmessungen erst durchführt, von den üblichen 5 auf mindestens 20 Mikrosekunden verringert. Durch diese Maßnahme sind entsprechende Seitenkanalangriffe nicht mehr in der Lage, die Messung der Zeitintervalle in der gleichen Präzision durchzuführen.

Speziell bei der Installation der Sicherheitsupdates für das Betriebssystem ist allerdings Vorsicht geboten. Da hier Änderungen am Betriebssystem Kernel vorgenommen werden, muss man im Vorfeld sicherstellen, dass der eingesetzte Virenscanner mit der Änderung kompatibel ist. Die Updates für das Betriebssystem werden daher nur installiert, wenn der folgende Registry Eintrag vorhanden ist. Bestimmte Virenscanner setzen diesen Eintrag automatisch, nachdem das entsprechende Update des Virenscanners installiert wurde. Bei anderen Virenscannern muss dieser Registry Eintrag manuell gesetzt werden. Welcher Virenscanner bereits kompatibel ist und welcher Virenscanner den Registry Eintrag automatisch setzt kann unter anderem in DIESER ÜBERSICHT nachgelesen werden.

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat]
“cadca5fe-87d3-4b96-b7fb-a231484277cc”=dword:00000000

 

Linkverzeichnis

Informationen zu Meltdown: https://meltdownattack.com/meltdown.pdf
Informationen zu Spectre: https://spectreattack.com/spectre.pdf
Empfehlungen von Microsoft: KB4073119
Update für Windows 10 Build 1607: KB4056890
Update für Windows 10 Build 1703: KB4056891
Update für Windows 10 Build 1709: KB4056892
Update für Windows 7: Security only (KB4056897)
Update für Windows 7: Monthly Rollup (KB4056894)
Update für Internet Explorer: KB4056568
Update für Firefox: Security Advisory 2018-01 für den Firefox 57.x dort finden sich auch Informationen zum Firefox ESR 52

Windows Phone ist tot

Kommentar verfassen

Neu ist diese Meldung eigentlich nicht mehr, weil gefühlt ist die Windows Phone Plattform eigentlich schon lange tot. Aber dass sich nun mit Joe Belfiore, seines Zeichens immerhin Vice President, ein hochrangiger Microsoft Mitarbeiter so deutlich äußert, ist dann schon etwas überraschend.

Microsoft wird zwar weiter Sicherheitsupdates und Fehlerbehebungen veröffentlichen, aber eine Weiterentwicklung und neue Hardware aus dem Hause Microsoft wird es nicht geben, so Belfiore über seinen Twitter Account.

 

Man werde Enterprise Kunden zwar weiter unterstützen, aber er selbst hat die Plattform wohl eben wegen der fehlenden Vielfalt an Hardware und Apps bereits verlassen. Wobei diese Meldung auch nicht wirklich neu ist, wurde Belfiore doch schon des Öfteren mit Geräten von der Konkurrenz gesichtet.

 

Man habe zwar alles versucht um mehr Inhalte zu generieren, aber es waren schlussendlich wohl einfach zu wenig User, um die Entwickler dazu zu bringen, ausreichend Apps zur Verfügung zu stellen.

Kein Firefox Browser mehr für Windows XP

Kommentar verfassen

Aktuell ist der Firefox einer der wenigen Browser, der auch unter Windows XP noch mit Updates versorgt wird. Zwar nur in der ESR Version 52 (Extended Support Release), was bedeutet, dass es nur noch Sicherheitsupdates gibt, keine neuen Features. Aber immerhin wird der Firefox Browser noch berücksichtigt.

Damit ist nun aber im Juni 2018 vorbei wie Mozilla HIER mitteilt. Dann endet der Support für den Firefox ESR 52 und mit dem Wechsel auf die Version 53 ist auch die Gnadenfrist für Windows XP dann endgültig abgelaufen. Übrigens auch für Windows Vista.

Erneutes Sicherheitsupdate für Windows XP

Kommentar verfassen

Obwohl schon lange am Support Ende angekommen wurde Windows XP im letzten Monat von Microsoft noch einmal mit einem Sicherheitsupdate versorgt. WannaCry machte dies notwendig.

Mit dem gestrigen Patch-Day hat Microsoft nun erneut eine Ausnahme gemacht und abermals ein Update für Windows XP veröffentlicht. Siehe Microsoft Security advisory 4025685.

Wie schon bei dem Patch im Zuge von WannaCry gibt es wohl auch dieses Mal einen Zusammenhang zu den durch WikiLeaks veröffentlichten CIA-Spionage-Tools wie “Athena”.
Zumindest spricht Microsoft davon, dass mit dem aktuellen Patch-Day weitere Schwachstellen gegen staatliche Überwachung und deren Copycats geschlossen werden sollen.

https://blogs.windows.com/windowsexperience/2017/06/13/microsoft-releases-additional-updates-protect-potential-nation-state-activity/#gVFaIaWPeAzjAgzH.97
https://blogs.technet.microsoft.com/msrc/2017/06/13/june-2017-security-update-release/

Weltweite Attacken durch WannaCrypt – Microsoft patcht Windows XP

Kommentar verfassen

Dass es ein Computerschädling in die Hauptnachrichten geschafft hat, ist schon lange her. WannaCrypt hat es nun einmal wieder geschafft. Dabei sind eigentlich alle noch offiziell unterstützten Microsoft Betriebssysteme immun gegen diese Ransonware, sofern sie auf dem aktuellen Stand sind. Denn bereits mit dem März Patchday hat Microsoft seine Betriebssysteme entsprechend aktualisiert. Problem sind wieder einmal die eigentlich gar nicht mehr unterstützten Systeme wie unter anderem eben Windows XP.

WannaCrypt ist auch eigentlich gar nichts Besonderes. Eine Ransonware, die durch eine längst bekannte Lücke in das System eindringt, Daten verschlüsselt und anschließend zur Zahlung eines “Lösegelds” in Höhe von 300 Dollar auffordert. Getroffen hat es dieses Mal also wieder einmal Anwender, die kein aktuelles Betriebssystem einsetzen. So hohe Wellen, dass es der Schädling in die Hauptnachrichten geschafft hat, liegt eben daran, dass es eine große Anzahl an öffentlichen Einrichtungen erwischt hat, speziell betroffen waren Krankenhäuser in Großbritannien aber auch verschiedene Fahrplan Auskunft Systeme der Deutschen Bahn.

https://twitter.com/Nick_Lange_/status/863132237822394369

Dass die Angriffswelle relativ schnell gestoppt werden konnte liegt dieses Mal einzig und alleine daran, dass die Programmierer des Schädlings einen Killswitch eingebaut hatten, den MalwareTech entdeckt hat. Die simple Registrierung eines bestimmten Domain Namens reichte aus, um die Verbreitung zu stoppen.

Die Auswirkungen waren aber trotzdem so drastisch, dass sich Microsoft dazu entschlossen hat, für diesen speziellen Fall das Sicherheitsupdate KB4012598, welches für alle unterstützten Betriebssysteme schon seit März verfügbar ist nun auch noch für Windows XP anzubieten. Also für ein Betriebssystem, welches eigentlich schon seit längerer Zeit nicht mehr mit Updates versorgt wird. Nur weil die Gefahr durch diesen Schädling dank dem Killswitch gebannt ist, wäre für Nachahmer ansonsten weiter Tür und Tor offen gestanden.

Wer also noch XP einsetzt oder alle die, die sich beharrlich gegen Updates von Microsoft wehren, sollten nun also schnell das Update KB4012598 installierten, welches über den Update Katalog erreichbar ist.

Weiterreichende Informationen gibt es im Microsoft Malware Protection Center Blog und auf TechNet.

Informationen