Spectre: Nutzbare Exploits bald für Kriminelle?

Meltdown und Spectre sind uns allen noch in Erinnerung. Es sind zwei Sicherheitslücken, die Anfang 2018 für eine Menge Aufsehen gesorgt haben. Bereits damals haben wir in einem Blog-Artikel darüber berichtet und auch ein Interview mit einem der Entdecker von Spectre geführt. Anders als Sicherheitslücken in Programmen, Apps oder Betriebssystemen sitzen diese Sicherheitslücken auf einer Ebene, auf die sich bisher nur wenige Malware-Autoren vorgewagt haben: Die Hardware, speziell der Prozessor eines Computers.  

Bisher gehörten diese Hardware-Sicherheitslücken eher zu dem Bereich, den viele Malware-Analysten augenzwinkernd als „schwarze Magie“ bezeichneten. Vor einigen Monaten sind jedoch Teile von Programmen im Netz aufgetaucht, die das Potenzial haben zu einer echten Waffe zu werden. Konkret geht es hier um Exploit-Module, die gezielt die Spectre-Lücke ins Visier nehmen. Die Programmteile sind ursprünglich Bestandteil einer ganzen Software-Suite namens CANVAS. Penetrationstester setzen Programme wie dieses ein, um im Kundenauftrag in Firmennetzwerke eindringen, und so deren Sicherheit zu testen.  

Der Zugang zu diesen Programmen ist naturgemäß stark eingeschränkt und sie können legal nur innerhalb sehr enger Grenzen eingesetzt werden. In den falschen Händen können diese Werkzeuge jedoch zu einer echten Gefahr werden – vor allem dann, wenn Kriminelle diese in die Finger bekommen.  

Damit hier kein falscher Eindruck entsteht: Diese Sicherheitslücken sind nach wie vor alles andere als trivial auszunutzen. Sobald allerdings jemand mit dem passenden Know-how einen funktionierenden Exploit entwickelt hat und diesen öffentlich macht, steht die Tür weit offen. Auch und besonders für Täter, die über wenig fundierte Kenntnisse verfügen und damit großen Schaden anrichten können. Das wäre in etwa so, als gäbe man einem Kleinkind in einem Raum voll teurer Ming-Vasen einen Hammer in die Hand und würde den Raum verlassen. 

Die Möglichkeiten, Hardware-Sicherheitslücken nachhaltig zu beheben, besteht ausschließlich in der Änderung der Hardware selbst. Das kann nur der jeweilige Chip-Hersteller leisten. Daraus ergeben sich zwei folgenschwere Tatsachen:Erstens müssen hier Hardware-Probleme mit einem Software-Patch temporär geflickt werden. Das wiederum kann eigene Probleme mit sich bringen, wie etwa das Aufreißen weiterer Sicherheitslücken. Zweitens: Da nicht zu erwarten ist, dass Privatnutzer oder Unternehmen aufgrund dieser Sicherheitslücken in den Prozessoren ihre komplette Hardwareausstattung ersetzen werden, dürften anfällige Systeme in manchen Fällen noch zehn Jahre oder länger im Einsatz bleiben.

Diese beiden Tatsachen, verbunden mit der Tendenz, Patches viel zu spät auszurollen, sind Zutaten für ziemlich dramatische Ereignisse, deren Auswirkungen nicht abzusehen sind. Wir reden hier über Millionen Systeme, die weltweit anfällig sind und auf denen mit Sicherheit nicht überall aktuelle Patches installiert sind – sofern diese überhaupt zur Verfügung stehen. Selbst die Verfügbarkeit von Patches ist kein Garant dafür, dass sie auch installiert werden. Hier sei an den „Bluekeep“- Exploit erinnert, der von WannaCry ausgenutzt wurde. Dafür war bereits Monate vor dem großen Ausbruch von WannaCry ein Patch vorhanden - selbst für das eigentlich bereits seit 2014 abgekündigte Windows XP. Was passiert ist, ist hinlänglich bekannt.  

Was vielleicht in diesem Zusammenhang interessant ist: Im vergangenen Dezember ist mit Fire Eye ebenfalls ein Unternehmen aus dem Sicherheitsbereich zum Opfer eines Angriffs geworden – und auch hier hatten Unbefugte Zugriff auf Spezialwerkzeuge für Penetrationstests. Möglicherweise werden wir diesen irgendwann ebenfalls in freier Wildbahn begegnen.