Meltdown und Spectre: Der IT-Security-Supergau?

Neue Sicherheitslücken in Prozessoren treffen Hersteller ins Mark

Jeder Prozessor ist betroffen

Meltdown und Spectre – seit zwei Wochen halten sie die IT-Welt in Atem. Was nach Titeln von Hollywood Blockbustern klingt, ist alles andere als Spaß und Unterhaltung. Stattdessen haben wir es mit neuen, gravierenden Sicherheitslücken zu tun – vielleicht den größten der gesamten IT-Industrie. Denn dieses Mal ist nicht ein bestimmtes Betriebssystem oder Gerätetyp betroffen. Dieses Mal ist fast jeder Rechner, jedes Smartphone, jedes Tablet, jedes Cloud-System weltweit betroffen: Ganze Generationen von Computerchips, im Grunde genommen jeder Intel-Chip seit 1995, sind offenbar anfällig für Attacken, mit denen Passwörter und Kryptoschlüssel gestohlen werden können.

Während Sie sich Meltdown dabei wie einen Dieb vorstellen müssen, der in Ihre Tasche greift, um Ihr Hab und Gut zu stehlen, versteht sich Spectre auf Manipulation. Diese Variante bringt Sie dazu, Ihre Taschen freiwillig herauszugeben. Beide Angriffe hinterlassen keine Spuren und werden nicht von Antivirus-Software erkannt. Bislang weiß niemand, ob die Sicherheitslücken in Prozessoren bereits ausgenutzt wurden.

Chiphersteller wussten Bescheid

Sicherheitslücken in Prozessoren Bereits vor gut einem halben Jahr haben Mitarbeiter von Googles Project Zero gemeinsam mit Forschern verschiedener Universitäten und der Industrie die Sicherheitslücken in Prozessoren entdeckt. Anfang Juni 2017 wurden die Hersteller von Prozessoren informiert, darunter Platzhirsch Intel, aber auch AMD und ARM.

Für Dienstag, den 9. Januar 2018, war dann die Veröffentlichung geplant, bereits seit dem 3. Januar überschlagen sich allerdings die Meldungen um die neuen Sicherheitslücken: Amerikanische Technikjournalisten berichteten, dass Hersteller in der Windows- und Linux-Welt sowie in den namhaften Cloud-Plattformen hektisch an Updates arbeiten – etwas Großes musste dahinter stecken.

Technische Hintergründe

Wie sich zeigte, ist dem auch so: Die auf den Namen Meltdown und Spectre getauften Sicherheitslücken nutzen sogar die Achillesferse verschlüsselter Geräte aus. Um dem ganzen Problem auf den Grund zu gehen, müssten wir tief in die Computertechnik eintauchen. Die Hintergründe sind also sehr komplex und fast nur für Software-Programmierer zu verstehen. Wir versuchen, das Ganze vereinfacht, mit verständlichen Begriffen zu erklären:

Sicherheitslücken in Prozessoren Seit den 90er Jahren wurden Prozessoren dahingehend weiterentwickelt, Daten immer schneller zu verarbeiten. Zu diesem Zwecke werden mehrere Befehle gleichzeitig berechnet, um möglicherweise später benötigte Daten schon vorher abzurufen. Welche das sind, entscheidet der Computer – er spekuliert sozusagen, welcher Teil eines Programmes als nächstes ausgeführt werden könnte. Für die Spekulation greift der Prozessor auf Erfahrungswerte zurück. Stellt der Prozessor fest, dass er sich verspekuliert hat, verwirft er die berechneten Daten einfach. In der Regel irrt sich der Prozessor jedoch selten und die berechneten Daten werden schnell verarbeitet.

Während der Prozessor rechnet und sich spekulative Ergebnisse zwischenspeichert, stehen Daten unverschlüsselt im Speicher – zum Schutz in getrennten Speicherbereichen. Der Knackpunkt: Um Befehle auszuführen, müssen Daten ausgetauscht werden. Dazu muss ein Prozess jedoch teilweise auf Speicher zugreifen, den auch ein anderer Prozess erreichen kann. Das geschieht nach klar definierten Regeln – unter anderem aus dem Grund, damit einige Daten eben nicht ausgetauscht werden dürfen.

Sicherheitslücken in Prozessoren

Nun haben Sicherheitsforscher herausgefunden, dass der Speicherschutz umgangen werden kann. Es gibt Möglichkeiten, Daten, die einem Programm gehören, mit einem Schadprogramm auszulesen. Dieser Fehler eröffnet Hackern zwei Angriffsmöglichkeiten: „Meltdown“ und „Spectre“.

Meltdown

Meltdown verschafft sich Zugriff auf eigentlich geschützte Speicherbereiche. Konkret wird bei dieser Angriffsmethode die Vorab-Informationsbeschaffung des Prozessors ausgenutzt. Während er spekuliert, was als Nächstes zu tun ist, erzeugt der Prozessor selbst Daten und speichert diese zwischen. Aus diesem Cache heraus können Angreifer Daten abgreifen, indem sie Schadprogramme auf dem Gerät ihres Opfers installieren – beispielsweise über eine manipulierte Webseite – und ausführen.

Spectre

Spectre ist noch komplexer und zielt auf den oben genannten Lernprozess eines Chips ab, Prozesse zu verarbeiten und auf welcher Basis er Entscheidungen zu treffen hat. Angreifer können dem Chip beibringen, Entscheidungen zu treffen, die er eigentlich gar nicht treffen darf – sie manipulieren ihn und kommen auf diese Weise an die Daten. Diese Angriffsmethode ist zwar aufwändiger umzusetzen, weil Angreifer sich mehr Informationen beschaffen müssen, beispielsweise welche Software und welches Betriebssystem auf dem jeweiligen Gerät installiert ist. Dennoch ist ein Angriff dieser Art möglich.

Keine Antivirenlösung in Sicht

Sicherheitslücken in Prozessoren Niemand weiß, ob die Sicherheitslücken in Prozessoren bereits ausgenutzt wurden und wenn ja, von wem. Bislang ist auch keine Schadsoftware bekannt, die Meltdown oder Spectre ausnutzt. Und genau das ist auch schon das nächste Problem: Antivirenlösungen erkennen nur Schadprogramme, die bereits bekannt sind. Automatisch erkennt keine Antivirenlösung der Welt ein ihr unbekanntes Schadprogramm. Denn erst anhand seiner individuell typischen Signatur können Antivirenlösungen ein solches Programm erkennen und blockieren.

Noch gruseliger wird es, wenn Sie sich in Erinnerung rufen, wie einfach Schadprogramme auf einen Rechner gelangen können: Zum Beispiel versteckt im Anhang einer als seriös getarnten E-Mail oder als Download über eine gefakte Website (Phishingsite).

Was Sie tun können

In wilde Panik zu verfallen und den Prozessor tauschen zu wollen, nützt wenig: Es gibt aktuell keine Prozessoren, die nicht von Spectre betroffen sind. Die betroffenen Prozessorenhersteller Intel, AMD und ARM arbeiten eigenen Aussagen zufolge daran, das Problem zu lösen. Der Knackpunkt dabei: Der Programmcode, der Befehle des Betriebssystems für den Prozessor übersetzt, muss aktualisiert werden. Für jedes PC- und Smartphone-Modell müssen eigene Firmware-Updates bereitgestellt werden. Sie können sich vorstellen, dass das ein teures und aufwändiges Unterfangen ist.

Mehr als Updates für Ihre Betriebssysteme zu installieren, können Sie momentan also kaum tun. Immerhin bekommen Sie auf diese Weise wenigstens Meltdown in den Griff. Die ersten Updates für Betriebssysteme und Software liegen bereits vor. Gleich ob Smartphone, Windows- oder Linux-PC oder MacBook: Installieren Sie diese Updates unbedingt auf Ihren Geräten. Sollte für Ihr Betriebssystem (noch) kein Update vorliegen, halten Sie unbedingt Ausschau danach und installieren Sie es umgehend.

Updates mit allen iQ.Suite Versionen erfolgreich getestet

Lesetipp Mittlerweile stehen Updates u.a. von Microsoft zur Schließung der Sicherheitslücken zur Verfügung. Das Zusammenspiel dieser Updates wurde mit allen aktuellen iQ.Suite Versionen erfolgreich getestet. Alle relevanten Informationen können Sie in unserem neuesten Knowledgebase Artikel lesen.

Google

Laut Google sind auch Android-Systeme von Smartphones gefährdet. Die hauseigenen Smartphones seien mit dem Android-Sicherheitsupdate vom 2. Januar geschützt. Die Androiden anderer Hersteller haben ein solches Sicherheitsupdate nach heutigem Stand (9.1.2017) noch nicht erhalten. Die Google-Produkte Chromecast, Home und Google Wifi sind angeblich nicht von Meltdown und Spectre betroffen. Googles Browser Chrome soll mit seiner angekündigten Version 64 die Angriffsmöglichkeiten immerhin abschwächen.

Microsoft

Microsoft hat (neben Amazon) damit begonnen, seine Cloud-Dienste mit Updates abzusichern. Am 4. Januar hat Microsoft zudem für Windows ein außerplanmäßiges Sicherheits-Update herausgegeben. Mit diesem soll verhindert werden, dass Meltdown über Funktionen in den Browsern Edge und Internet Explorer ausgenutzt werden kann. In einem aktuellen Blog-Beitrag (https://cloudblogs.microsoft.com/microsoftsecure/2018/01/09/understanding-the-performance-impact-of-spectre-and-meltdown-mitigations-on-windows-systems/) erklärt Microsoft-Vizepräsident Terry Myerson die Updates genauer und gibt auch Einschätzungen über Performance-Einbußen ab: Unter Windows Server können die erheblich sein.

Apple

Apple soll nach unbestätigten Berichten mit einem früheren Update für sein Betriebssystem Mac OS das Leck bereits teilweise geschlossen haben. Ansonsten tappen iOS-Nutzer noch im Dunklen: Apple äußerte sich bislang nicht (Stand: 9.1.2017), was mit iPhones und iPads ist. Auch diese laufen mit Prozessoren von ARM.

geschrieben von: Heiko Brenn

Heiko Brenn

Heiko Brenn ist bei GBS als Principal Senior Produkt Manager verantwortlich für die Collaboration Security Lösungen. Sein Aufgabengebiet erstreckt sich dabei sowohl auf die IBM-, Microsoft- als auch die Cloud-Plattformen. Er verfügt über umfassende, projektbezogene Expertise in den Bereichen E-Mail-Management und Collaboration.

Abonnieren Sie den GBS Newsletter und erhalten Sie neue Artikel sofort in Ihre Mailbox!

Posted in:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.