Info & Empfehlung zu Sicherheitslücken "Spectre" und "Meltdown"

Das Jahr 2018 ist erst wenige Tage alt und dennoch wurde die IT-Welt in der vergangenen Woche durch mehrere schwerwiegende Sicherheitsproblematiken innerhalb moderner MikroProzessoren erschüttert. Daher möchten wir sie kurz über einige wichtige Informationen unterrichten und ihnen einen möglichen Lösungsweg aufzeigen.
 
Konkret geht es dabei um zwei, respektive drei Sicherheitslücken, die zusammengenommen unter den Namen „Meltdown“ und „Spectre“ seit etwa einer Woche die Runde machen. Die beiden Sicherheitslücken wurden von Sicherheitsforschern des Google Project Zero erkannt und bereits im Juli 2017 an verschiedene Prozessorhersteller gemeldet. Am 4. Januar 2018 wurden schließlich die Beschreibungen zu den technischen Details veröffentlicht.
 
Kurzbeschreibung der „Meltdown“ Schwachstelle (CVE-2017-5754):
 
Meltdown (zu Deutsch: Kernschmelze) beschreibt eine Problematik im Speichermanagement moderner Mikroprozessoren der Firma Intel. Normalerweise werden sämtliche physikalischen Speicheradressen in so genannte virtuelle Speicheradressen gemappt, wobei es dort eine klare Trennung zwischen Adressen im Kernel-Modus (Ausführungsring 0) und Benutzer-Modus (Ausführungsring 1-3) gibt. Prozesse im Benutzer-Modus teilen sich zwar den Adressraum mit dem Kernel-Modus (Mapping), beim Zugriff auf die entsprechenden Speicherbereiche des Kernels erhalten die Anwendungen im Benutzer-Modus jedoch stets eine Programmausnahme (Exception). Aufgrund bestimmter Eigenschaften moderner Prozessoren (Spekulative Ausführung von Instruktionen) kann es jedoch dazu kommen, dass Benutzeranwendungen Lese-Zugriff auf geschützte Speicherbereiche erhalten.
 
Kurzbeschreibung der „Spectre“ Schwachstelle (CVE-2017-5715):
 
Spectre ist eine weitere Problematik, die sich ebenfalls mit der spekulativen Ausführung von Befehlen in Mikroprozessoren beschäftigt. Unter bestimmten Voraussetzungen kann es dazu kommen, dass Prozessübergreifend Daten aus fremden Speicherbereichen ausgelesen werden können. Betroffen sind hierbei neben Prozessoren der Firma Intel auch Produkte von AMD und ARM, da die grundlegende Art der Ausführung (spekulativ) grundlegend bei allen modernen Mikroprozessoren mehr oder weniger gleich ausgelegt ist.

 

Wie schwerwiegend sind die Sicherheitslücken?
 
Man muss zum aktuellen Zeitpunkt leider an dieser Stelle sagen, dass die erkannten Probleme nach der Heartbleed-Attacke (CVE-2014-0160) sowie DoublePulsar/EternalBlue (CVE-2017-0143 bis 0146) zu den schwersten Sicherheitslücken der vergangenen Jahre gehören. Das liegt nicht alleine daran, dass die Probleme einige grundlegende Schutzmechanismen (Trennung von Speicheradressen und Ausführungszonen) aushebeln, sondern das praktisch jedes System davon betroffen ist. Zwar existieren aktuell hauptsächlich einige Proof-of-Concepts zur Ausnutzung der beschriebenen Schwachstellen, jedoch dürfte es aufgrund der guten Dokumentation der Schwachstellen nur eine Frage relativ kurzer Zeit sein, bis die Lücken von kriminellen Organisationen oder ggf. auch Geheimdiensten zwecks Datenklau / Industriespionage aktiv genutzt werden.
 
Wie kann ich mich schützen?
 
Zur Vermeidung der Meltdown-Problematik gibt es seit vergangener Woche von praktisch allen großen Betriebssystem-Herstellern passende Updates, wo in die Betriebssysteme eine Technik namens „Kernel Page Table Isolation“ (KPTI oder kurz PTI) implementiert wird, die verhindern soll, dass Benutzerprozesse auf Daten im Kernel-Speicherbereich zugreifen können.
 
Die Ausnutzung der Spectre-Lücke ist wesentlich schwieriger, jedoch gestaltet hier auch das Schließen der Lücke als deutlich aufwendiger. Auch hier sind es größtenteils Softwareupdates (u.a. Firefox 57.0.4. kommende Google Chrome Version 64), die ein Ausnutzen der Schwachstelle verhindern sollen. Zudem arbeiten die CPU-Hersteller zusammen mit den OEMs derzeit an BIOS-Updates zwecks einer Aktualisierung des so genannten Prozessor-Microcodes. 
 
Wie kann Elanity helfen? 

Dieser Fall zeigt, wie wichtig es ist, auf allen PC, Notebooks und Servern die aktuellen Patches einzuspielen. Viele Unternehmen glauben, mit dem Einspielen der Standard-Windows Updates alles getan zu haben - doch inzwischen werden die meisten Sicherheitslücken von Dritt-Anbieter-Applikationen verursacht. Da das PatchManagement manuell mit einem vernünftigen Aufwand-Nutzen-Verhältnis kaum machbar ist, bietet Elanity mit Flexera CSI oder dem Managed Patch Management zwei Services an, die Ihnen das Leben einfacher machen und Ihr Netzwerk verlässlich sicherer.

Zusätzlich unterstützen wir Sie natürlich auch gerne dabei, manuell Ihre Serversysteme mit z.B. VMWare etc. auf den aktuellen Stand zu bringen. 

Zu guter Letzt bleibt auch nochmal darauf hinzuweisen, daß auch die Firewalls regelmäßig aktualisiert und gepflegt werden sollten. Sei es mit Firmware-Updates (denn auch in den Firewalls stecken Prozessoren...) als auch in Form von Pflege des Regelwerkes. Von Elanity erhalten Sie Firewalls, die sehr einfach durch Sie zu managen sind bzw. die mit einem zentralen Management auch hunderte oder tausende Firewalls schnell verwalten können. Und wenn Sie auch dafür die Zeit nicht regelmäßig finden, nutzen Sie doch unseren Managed-Firewall Service!

klingt gut, sprechen wir drüber!

 

Hinweis zu möglichen Performance-Einbußen:
 
In den verschiedenen Meldungen zu Meltdown und Spectre tauchen oft Berichte über mögliche Performanceeinbußen auf, nachdem die entsprechenden Gegenmaßnahmen in Form von Updates implementiert wurden. Hier variieren die Angaben von „vernachlässigbar“ bis hin zu Einbußen von bis zu 60% je nach Anwendung. Zum aktuellen Zeitpunkt lässt sich hier noch kein klares Bild zeichnen. Die allgemeine Aussage ist jedoch, dass im Normalfall in den üblichen Anwendungen es zu keinerlei spürbaren Performanceengpässen kommt. Lediglich in speziellen Fällen können deutlich mess- oder gar spürbare Nachteile entstehen.

 

Microsoft Updates:
 
Update für Windows 10 (Version 1709): KB4056892
https://support.microsoft.com/de-de/help/4056892/windows-10-update-kb4056892
 
Update für Windows 10 (Version 1607) & Windows Server 2016: KB4056890
https://support.microsoft.com/en-us/help/4056890/windows-10-update-kb4056890
 
Update für Windows 8.1 & Server 2012 R2: KB4056898
https://support.microsoft.com/en-us/help/4056898/windows-81-update-kb4056898
 
Update für Windows 7 SP1 & Server 2008 R2 SP1: KB4056897
https://support.microsoft.com/en-in/help/4056897/windows-7-update-kb4056897
 
Achtung: Ältere Versionen von Microsoft Windows befinden sich nicht mehr im Microsoft Support Lifecycle und werden daher nicht mehr mit Sicherheitsupdates versorgt!
 

VMware Security Advisory 2018-002:
 
https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html
 
Notwendiger Patch für ESXi Version 6.5: ESXi650-201712101-SG
Notwendiger Patch für ESXi Version 6.0: ESXi600-201711101-SG
Notwendiger Patch für ESXi Version 5.5: ESXi550-201709101-SG
 
Achtung: Ältere Versionen von VMware vSphere/ESXi befinden sich nicht mehr im VMware Support Lifecycle und werden daher nicht mehr mit Sicherheitsupdates versorgt!
 

Linux-Kernel:
 
Derzeit werden die Linux-Kernel-Versionen 4.15 & 4.14.11 sowie die beiden Long-TermService-Releases 4.9.75 & 4.4.110 mit Updates für die Page-Table-Isolation zur Verhinderung der Meltdown-Attacke versorgt.
 

Weitere Infos:
 
Beschreibung CVE-2017-5754 (Meltdown):
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5754
Beschreibung CVE-2017-5715 (Spectre):
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5715
Beschreibung CVE-2017-5753:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5753
 
 
Offizielle Stellungnahme von Intel: 
https://newsroom.intel.com/news/intel-responds-to-security-research-findings/
Whitepaper zur Analyse der Speculation Side Channel Attacke (PDF-Datei):
https://newsroom.intel.com/wp-content/uploads/sites/11/2018/01/Intel-Analysis-ofSpeculative-Execution-Side-Channels.pdf
Technische Details von Google Project Zero: 
https://googleprojectzero.blogspot.de/2018/01/reading-privileged-memory-with-side.html
Weitere Technische Details von Google zu den Auswirkungen der Fehlerbehebungen:
https://security.googleblog.com/2018/01/more-details-about-mitigations-for-cpu_4.html
Leitfaden zum Schutz vor Sicherheitsrisiken durch Seitenkanalangriffe mit spekulativer Ausführung bei Windows-Servern:
https://support.microsoft.com/de-de/help/4072698/windows-server-guidance-to-protectagainst-the-speculative-execution
Stellungnahme von Apple:
https://support.apple.com/en-us/HT208394