Ein internationales Team von Forschern hat zwei schwere Sicherheitslücken in modernen CPUs entdeckt. Betroffen sind Prozessoren vieler namhafter Hersteller, darunter Intel und AMD. Die Lücken schlummern dort bereits seit mehr als 10 Jahren. Microsoft hat ein Update bereitgestellt, das mit G DATA-Lösungen kompatibel ist.
Sicherheitsforscher Anders Fogh von G DATA Advanced Analytics hat die Grundlagen für die Entdeckung der Sicherheitslücken geschaffen, die unter den Namen “Spectre” und “Meltdown” bekannt wurden. Er hat bereits im Juli 2017 in einem Blogartikel (Artikel in englischer Sprache) über einen möglichen Missbrauch von speculative execution – Designs berichtet.
Wenngleich sein Blogpost kein Medienecho hervorrief, wurde seine Arbeit sowohl von Google Project Zero zitiert, die eine ausführliche Analyse beider Sicherheitslücken veröffentlichten, als auch von dem Forscherteam, das parallel und davon unabhängig die Entdeckung machte.
Auswirkungen auch für kritische Infrastrukturen
Die Auswirkungen sind umso beunruhigender, wenn man bedenkt, dass die angreifbaren Prozessoren nicht nur in PCs und Servern eingesetzt werden. Auch Smartphones und Tablets können betroffen sein, wie Google und Apple bereits bestätigt haben– wenngleich die Sicherheitslücken auf diesen Geräten weniger leicht ausnutzbar sind. Vernetzte Geräte wie solche, die in Krankenhäusern eingesetzt werden, IoT-Knotenpunkte, Fahrzeuge und kritische Infrastrukturen nutzen unter Umständen die anfälligen Chips. Dort gibt es jedoch keinen einfachen Weg, diese zu aktualisieren. Aufgrund der Beschaffenheit dieser Sicherheitsproblematik sind bloße Softwareupdates nicht ausreichend – auch die Firmware der CPU benötigt eine Aktualisierung. Wird die Soft- oder Hardware nicht mehr vom Hersteller unterstützt, kann nur eine Neuanschaffung helfen. Abgekündigte „Legacy“-Hardware nachträglich mit Updates zu versorgen ist meist entweder technisch unmöglich oder mit hohen Kosten verbunden.
Was tut die Sicherheitslücke?
Durch das Ausnutzen eines CPU-Konzeptes namens “speculative execution” (dt: “spekulative Ausführung”) kann bösartige Software auf zugriffsbeschränkte Daten eines betroffenen Systems zugreifen. Das Konzept wurde ursprünglich entwickelt, um die Performance von Prozessoren zu verbessern. Im schlimmsten Fall kann ein Angreifer auf diesem Weg jedoch Passwörter oder andere sensible Daten stehlen. Zwar stellen Spectre und Meltdown für Heimanwender durchaus ein Risiko dar und sollten in diesem Zusammenhang nicht verharmlost werden. Allerdings nehmen die Konsequenzen der Enthüllungen für Anbieter von Clouddiensten dramatische Ausmaße an, wenn dort angreifbare Hardware eingesetzt wird. Das Risiko besteht hier in einer beachtlichen Angriffsfläche, die unter Umständen Millionen von Kunden und deren Daten betreffen kann. So könnte ein Angreifer einen legitimen Zugang erwerben und Daten von Kunden stehlen, deren Dienste auf der gleichen Hardware laufen. Microsoft und Apple haben bereits Updates für ihre Betriebssysteme bereitgestellt. Andere Plattformen wie Linux und Android ziehen derzeit nach.
G DATA – Kunden bleiben geschützt
Um die Sicherheitslücke zu beheben und sicherzustellen, dass weder die Spectre- noch die Meltdown-Lücke ausgenutzt werden können, hat Microsoft bereits ein entsprechendes Update bereitgestellt und verteilt. Hersteller von Sicherheitssoftware wurden gebeten, die Kompatibilität ihrer Lösungen mit diesem Update durch das Setzen eines bestimmten Registry-Schlüssels zu bestätigen. G DATA-Lösungen sind kompatibel mit dem von Microsoft bereitgestellten Update. Um sicher zu stellen, dass das entsprechende Microsoft-Update installiert wird, sollten die automatischen Windows Aktualisierungen aktiviert sein. Sonst sind keine weiteren Schritte notwendig. Eine Neuinstallation von G DATA Sicherheitslösungen ist nicht erforderlich.
Weitere Schritte
Für Unternehmen machen die Ereignisse um die Sicherheitslücken und die damit verbundene Flut an Updates für die eingesetzten Programme deutlich, dass ein tragfähiges Patch Management – Konzept von hoher Wichtigkeit ist. Nur, indem man den aktuellen Versionsstatus eingesetzter Programme sowie die Verfügbarkeit von Patches im Blick behält, kann man das Zeitfenster, in dem ein erfolgreicher Angriff mit Hilfe dieser Lücken möglich ist, geschlossen werden. Durch eine intelligente Kombination von Patch-Management und einem wohlüberlegten Patchzyklus können Administratoren ihre IT-Infrastruktur wirksam härten und die Sicherheit von Daten verbessern.
Update 10. Januar 2018, 11:30 Uhr: Patch-Chaos, Leistung und Kompatibilitätsfragen
Vielfach herrscht momentan Verwirrung und Unmut über die Situation um Meltdown und Spectre.
Es wurde gestern bekannt, dass der Patch, den Microsoft zur Behebung der Sicherheitslücke veröffentlicht hat, für einige Systeme nun zurückgezogen wurde. Begründet wurde dies damit, dass einige AMD-Chips sich in der Praxis anders verhielten als erwartet. Die Dokumentation der Chips weiche in einigen Punkten vom tatsächlichen Verhalten ab, was dazu führt, dass einige Systeme mit AMD-Prozessoren nach Installation den Updates nicht mehr hochfuhren. Nach Angaben von Microsoft hat man aus diesem Grund die Verteilung der Updates für betroffene Systeme mit AMD-Chips gestoppt.
Bereits in der vergangenen Woche war Microsoft an alle Sicherheits-Hersteller - und somit auch an G DATA - herangetreten und hat diese darum gebeten, zu prüfen, ob deren Sicherheitslösungen kompatibel mit dem Sicherheitsupdate seien. Wenn die Kompatibilität sichergestellt sei, solle jeder Hersteller dies durch einen Eintrag in der Windows-Systemdatenbank (Registry) bestätigen. Fehlt dieser Eintrag, wird das Microsoft-Update nicht installiert. Ziel dieser Strategie ist zum einen, die Sicherheit wieder herzustellen, dabei aber zu vermeiden, dass einzelne Systeme nicht mehr starten oder Fehlermeldungen produzieren. G DATA hat hier reagiert und nach Tests die Kompatibilität bestätigt, sodass der Installation des Updates nichts im Wege steht.
Die folgenden Lösungen wurden getestet: G DATA AntiVirus, G DATA InteretSecurity, G DATA TotalSecurity, G DATA AntiVirus Business, G DATA ClientSecurity, G DATA EndpointProtection, (inklusive Linux Web/MailSecurity Gateway) G DATA AntiVirus für Mac und G DATA InternetSecurity für Android.
Für Mobilgeräte wird es noch komplexer: Sofern es sich bei einem Android-Gerät nicht um ein Google-Modell (Pixel oder Nexus) handelt, müssen die jeweiligen Hersteller die Software-Updates verteilen. In der Vergangenheit hat sich die Verteilung gerade sicherheitskritischer Updates mit mehrmonatiger Verzögerung als geradezu katastrophal langsam erwiesen, da jeder Hersteller ein eigenes Update entwickeln, testen und verteilen muss. An diesem Problem krankt vor allem die stark fragmentierte Android-Welt seit längerem. Inhaber älterer Geräte haben hier das Nachsehen, da die Hersteller eher am Verkauf von Neugeräten interessiert sind als an der Pflege von "Altgeräten".
Der Grund für all die Aufregung und Verwirrung ist und bleibt jedoch ein Sicherheitsproblem in der Hardware selbst. Hersteller wie Microsoft, Apple und andere können das Problem lediglich umgehen, es aber nicht final lösen.
Hier ist Intel eindeutig in der Pflicht. Dort hat man bereits in Aussicht gestellt, CPUs ab Baujahr 2013 mit einem Firmware-Update zu versorgen, welches die Sicherheitslücke schließt. Hierbei sind Performance-Einbußen zu befürchten. Deren Ausmaß sei einzelfallabhängig und reiche von „kaum bis gar nicht“ bis hinein in den zweistelligen Prozentbereich.
Update 23. Januar 2018, 10:30 Uhr: Intel zieht einen der "Spectre"-Patches zurück
Wie gestern Abend bekannt wurde, hat Intel sich dazu entschieden, eines der Mikocode-Updates zurückzuziehen, das eines der "Spectre"-Szenarien beheben sollte. Das Update hatte in einigen Systemen zu spontanen Neustarts geführt, welche möglicherweise mit Datenverlusten einhergehen. Es ist daher zu erwarten, dass weitere Updates sich verzögern werden. Hier wird deutlich, dass gerade Dinge wie Mikrocode-Updates nicht mit der sprichtwörtlichen "heißen Nadel" gestrickt werden sollten, um negative Auswirkungen zu vermeiden.
Tim Berghoff
Security Evangelist
