Sicherheitsproblem Meltdown und Spectre in Intel ARM und AMD CPUs

Die beiden aktuellen großen Sicherheitslücken Meltdown und Spectrein in Prozessoren sind in aller Munde und zeigen wieder einmal wie anfällig unsere IT-Welt sein kann.

Nachfolgend ein paar kurze Fakten zum Thema.

Möglichkeiten durch Meltdown und Spectre

Beide Sicherheitslücken ermöglichen es Angreifern, mehr oder weniger einfach, sensible Daten aus Speicherbereichen der CPUs auszulesen.

Meltdown

Bei dem Meltdown genannetn Angriff werden alle Schutzmechanismen zwischen der Hardware und der CPU ausgehebelt, also die Isolation zwischen dem Betriebssystem und den Anwendungen der Nutzer. Als Resultat kann ein Angreifer auf den Speicher zugreifen und dessen Daten zugreifen.

Spectre

Ein Fehler in der Architektur der Prozessoren die ein Verfahren das sich “Speculative execution” nennt verwenden, erlaubt ein abgreifen von Informationen vom System und seine Nutzer. Hierbei ruft die CPU Informationen ab, die er womöglich erst später benötigt. Als Ergebnis ist die Arbeit am Rechner schnell und ohne Verzögerung möglich. Genau diese Spekulation lässt sich jedoch ausnutzen und manipulieren. Als Resultat kann ein Angreifer auf die Daten im Speicher zugreifen.

betroffene Intel CPUs

• Liste der betroffenen Intel CPUs
  • Serien der Core-Generation seit 2008
  • Intel Atom,
  • C-Serie,
  • E-Serie,
  • A-Serie, x3-Serie
  • Z-Serie,
  • Celeron und Pentium Serien J und N
  • Xeon 3400, 3600, 5500, 6500 und 7500 Serien
  • Xeon E3 (v1-v6), E5 (v1 bis v4), E7 (v1 bis v4) Familien
  • Xeon Scalable sowie
  • Xeon Phi 3200, 5200 und 7200

betroffene Arm CPUs

• Cortex-R7,
• Cortex-R8,
• Cortex-A8,
• Cortex-A9,
• Cortex-A15,
• Cortex-A15,
• Cortex-A17,
• Cortex-A57,
• Cortex-A72,
• Cortex-A73,
• Cortex-A75

Infos zu AMD -CPUs

Nachdem nun diverse Rechner mit AMD CPU einen Bluescreen nach Installation des Patches erhielten, stellte Microsoft fest, dass die von den Chip Herstellern bereitgestellten Unterlagen nicht stimmten. Als Folge unterbricht Microsoft vorerst die Verteilung des Updates an einige Systeme und klärt das Problem. Betroffen sind folgende AMD CPUs:

• January 3, 2018—KB4056897 (Security-only update)
• January 9, 2018—KB4056894 (Monthly Rollup)
• January 3, 2018—KB4056888 (OS Build 10586.1356)
• January 3, 2018—KB4056892 (OS Build 16299.192)
• January 3, 2018—KB4056891 (OS Build 15063.850)
• January 3, 2018—KB4056890 (OS Build 14393.2007)
• January 3, 2018—KB4056898 (Security-only update)
• January 3, 2018—KB4056893 (OS Build 10240.17735)
• January 9, 2018—KB4056895 (Monthly Rollup)

Weitere Absicherungen treffen viele Softwarehersteller wie Apple, Microsoft und Google durch die Bereitstellung von Updates für ihre Systeme. Gegen Meltdown ist das eine Möglichkeit der Absicherungung, jedoch nicht gegen Spectre, da hier die CPU Hersteller mit einem Patch gefordert sind. Hier ein paar Infos:

• Chrome Browser – es wird die Webseitisolierung (Strict Site Isolation) aktiviert
  • https://www.googlewatchblog.de/2018/01/meltdown-spectre-so-chrome/
  • in der Adressleiste chrome://flags/#enable-site-per-process eingeben und aktivieren, Chrome Update ist für den 23.01.2018 angekündigt
    
• Firefox – Patch in Version 57.0.4 steht hier bereit
  • https://www.mozilla.org/en-US/security/advisories/mfsa2018-01/
• Firefox ESR – aktuell ist hier wohl kein Patch notwendig, da die entsprechende Option nicht aktiviert ist
• Internet Explorer 11 und Edge gibt es ein Update
  • für Windows 10
    • KB4056888 (Win10 1511 LTSB)
    • KB4056890 (Win10 1607)
    • KB4056891 (Win10 1703)
    • KB4056892 (Win10 1709)
    • KB4056892 (Win10 1507 LTBS)
  • für Windows 7 und 8 in KB4056897 und KB4056898
  • ACHTUNG hier scheint es u.a. folgende Probleme nach Installation der Patche zu geben:
    • AMD Prozessoren freezen (Stop-Code 0x000000C4)
      • als Lösung das Update über die Wiederherstellungskonsole entfernen mit dem Befehl (Laufwerk D ist ggf. anzupassen): dism /image:d:\ /remove-package /packagename:Package_for_RollupFix~31bf3856ad364e35~amd64~~7601.24002.1.4 /norestart /scratchdir:d:\temp
    • Browserabstürze sind möglich
    • installierte Antivirensoftware sollte zuvor aktualisiert werden und nur Produkte von Herstellern die nach Rücksprache mit Microsoft ein korrekt gesetzten Registrykey, bestätigen, erhalten das Update, eine Liste ist hier zu finden: https://docs.google.com/spreadsheets/d/184wcDt9I9TUNFFbsAVLpzAtckQxYiuirADzf3cL42FQ/htmlview?sle=true#gid=0
    • Programme können Crashen / Freezen
• Informationen zu Kaspersky Produkten: https://support.kaspersky.com/14042

Neben obiger Hardware und Software sind auch Smartphones mit Android und iOS betroffen. Auch hier ein paar Infos

• Android soll seit Sicherheitsupdate im Januar 2018 geptacht sein
  • Achtung nicht alle Geräte erhalten regelmäßig oder überhaupt Updates, grade bei älteren ist es fast ausgeschlossen
  • Updates von Google die Pixel 2 (XL), Pixel (XL), Pixel C, Nexus 5X, Nexus 6P, Nexus 6
  • Updates von BlackBerry für Priv, DTEK50, DTEK60, KeyOne
  • Updates von LG für G3, G4, G5, G6, V10
  • Updates von Samsung für Galaxy Note 8, Galaxy S8 (Plus), Galaxy S7 (Edge), Galaxy S6 (Edge, Plus), Note 4, Note Edge, Galaxy A5 (2016), Galaxy A5 (2017)
  • weitere ?! Kommentar von Euch erwünscht
• iOS Update 11.2 und macOS 10.13.2 und tvOS 11.2 beheben teiwleise die Lücken
• Apple Watch ist nicht betroffen

Updates von Herstellern

• Lenovo Hardware Übersicht von betroffenen Geräten und Link zu Updates
  • https://support.lenovo.com/de/de/solutions/len-18282
• Dell Hardware Übersicht von betroffenen Geräten und Link zu Updates
  • http://www.dell.com/support/article/us/en/04/sln308587/microprocessor-side-channel-vulnerabilities–cve-2017-5715–cve-2017-5753–cve-2017-5754—impact-on-dell-products?lang=en
• Asus Hardware Übersicht von betroffenen Geräten und Link zu Updates
  • https://www.asus.com/News/V5urzYAT6myCC1o2?_ga=2.186649704.1968371089.1515430551-1468766636.1513948262
• GIGABYTE Intel ME Critical FW Update Utility
  • https://www.gigabyte.com/Support/Utility/Motherboard#mefw

Die Bereichte das die Leistung der Rechner um bis zu 30 Prozent und teilweise mehr einbrechen, konnten neuste Tests wiederlegen. Zum Teil sind es 1-3 Prozent, was in der Regel aber nicht auffällt.

Guter Anlaufpunkt ist aktuell https://meltdownattack.com/#faq-fix

Windows Test Spectre und Meltdown mittels Powershell

Wer sich etwas auskennt oder sich zutraut ein paar Befehle einzugeben, der kann die Verwundbarkeit seines Systems mit folgenden Powershell Befehlen prüfen lassen. Dazu wie folgt vorgehen:

1. Start -> Powershell eingeben und Shift-Strg gedrückt halten und dann Enter-Taste drücken (als Administrator ausführen)
2. erlauben von Remotesign Modulen erlauben und folgenden Befehl eingeben:
   1. # Set-ExecutionPolicy -ExecutionPolicy RemoteSigned # Abfrage mit Ja bestätigen
3. nun folgenden Befehl zur Installation des benötigiten Modules eingeben:
   1. # Install-Module SpeculationControl #Abfrage mit Ja Alle bestätigen
4. nun den Befehl für die eigentliche Prüfung ausführen:
   1. # Get-SpeculationControlSettings

5. die Ausgabe eines ungepatchten Systems sieht z.B. wie folgt aus:
   Speculation control settings for CVE-2017-5715 [branch target injection]Hardware support for branch target injection mitigation is present: False
   Windows OS support for branch target injection mitigation is present: False
   Windows OS support for branch target injection mitigation is enabled: FalseSpeculation control settings for CVE-2017-5754 [rogue data cache load]Hardware requires kernel VA shadowing: True
   Windows OS support for kernel VA shadow is present: False
   Windows OS support for kernel VA shadow is enabled: FalseSuggested actions* Install BIOS/firmware update provided by your device OEM that enables hardware support for the branch target injection mitigation.
   * Install the latest available updates for Windows with support for speculation control mitigations.
   * Follow the guidance for enabling Windows Client support for speculation control mitigations described in https://support.microsoft.com/help/4073119BTIHardwarePresent : False
   BTIWindowsSupportPresent : False
   BTIWindowsSupportEnabled : False
   BTIDisabledBySystemPolicy : False
   BTIDisabledByNoHardwareSupport : False
   KVAShadowRequired : True
   KVAShadowWindowsSupportPresent : False
   KVAShadowWindowsSupportEnabled : False
   KVAShadowPcidEnabled : False
6. wenn oben “True” steht und die Zeile grün ist, bist du geschützt
7. der obere Bereich (CVE-2017-5715 ist der Teil für Spectre
8. der untere CVE-21017-5754 ist für Meltdown

Weitere Infos folgen …