CAS Information Security & Risk Management 2018: Spectre Meltdown – aktueller Stand

Back-to-School: Aus dem Klassenzimmer des CAS Information Security & Risk Management. Basis für diesen Lehrgang ist das BSI-Grundschutzhandbuch, und die Teilnehmenden bereiten sich begleitend auf die CISSP-Prüfung vor. Ein weiterer Teil des 15-tägigen Lehrgangs ist es, ein CISSP- oder BSI-Fachthema als Blogpost aufzubereiten:

Anfangs Jahr wurde weltweit über zwei neue Sicherheitslücken im Bereich der Prozessoren für elektronische Geräte berichtet, Spectre und Meltdown. Der Aufschrei war gross, doch in der Zwischenzeit ist es wieder ruhig geworden. Worum geht es bei Spectre und Meltdown genau? Bin ich auch davon betroffen und wenn ja, was kann ich dagegen tun? Dieser Beitrag gibt Auskunft über den aktuellen Stand.

Was ist Spectre Meltdown?

Unter Spectre Meltdown sind drei signifikante Sicherheitslücken in Prozessoren bekannt geworden. Diese Lücken sind Folgen der Grundstruktur einer moderneren Prozessarchitektur: Um die Geschwindigkeit der Prozessoren zu verbessern, wird ein Verfahren namens «speculative execution» («spekulative Ausführung») eingesetzt. Bei diesem Verfahren versucht die CPU, den wahrscheinlichsten Weg des Programmflusses zu finden und führt teilweise mehrere Befehle gleichzeitig und spekulativ aus, in der Hoffnung, den richtigen Programmfluss erwischt zu haben. Wird keiner der abgefragten Programmwege benötigt, werden die entsprechenden Informationen verworfen.

Mithilfe von Spectre und Meltdown können nun Angreifer über dieses Verfahren auf eigentlich geschützte Speicherbereiche auf der CPU zugreifen und so Nutzereingaben wie Passwörter oder kryptographische Schlüssel auslesen. Bei Meltdown werden dabei die grundlegenden Trennungsmechanismen zwischen Programmen und dem Betriebssystem ausgehebelt, so dass der Angreifer mit entsprechender Malware direkt auf den Speicher zugreifen kann. Meltdown tritt bei praktisch allen Intel-Prozessoren seit 1995 auf. Spectre hingegen funktioniert bei Prozessoren aller Hersteller. Dabei wird die Abschottung zwischen einzelnen Programmen überwunden und Malware kann potenziell auch virtuelle Maschinen und Sandboxes durchbrechen. Mit entsprechender Schadsoftware können so Angreifer geheime Daten aus anderen Anwendungen entwenden. Die Schwachstellen basieren auf der grundlegenden Prozessorarchitektur und sind daher nur schwer zu schliessen.

Spectre und Meltdown gelten als die wahrscheinlich grössten Sicherheitslücken, die in den letzten zwanzig Jahren entdeckt wurden. Betroffen sind Chips aller Hersteller, die in allen modernen Rechnern (Desktop-PCs, Laptops, Handys, Servern, Smartphones etc.) zum Einsatz kommen, unabhängig von deren Betriebssystem.

Wie ist der aktuelle Stand?

Obwohl seit der Veröffentlichung der Schwachstellen bereits einige Zeit vergangen ist, tun sich Hersteller nach wie vor sehr schwer mit der Veröffentlichung von Updates. Diese gleichen eher einem Flickwerk und versuchen in der Regel nur die Auswirkungen abzumildern. Intel hatte im Januar 2018 sehr rasch einen Patch veröffentlicht, diesen aber kurz darauf wieder zurückgezogen, da seine Installation zahlreiche Probleme verursachte. In den letzten Tagen wurden von Intel erneut Patches für verschiedene Prozessoren-Typen veröffentlicht und zur Installation freigegeben.

Beim Hersteller AMD ist die aktuelle Situation wenig transparent. AMD-Prozessoren brauchen ein BIOS-Update, wann welche Updates für welche Prozessoren veröffentlicht werden, ist aber bis heute nicht bekannt. Die verfügbaren Informationen sind vage und unverbindlich. Allerdings sind AMD-Prozessoren nur für Spectre anfällig.

Besser sieht es bei den Betriebssystemen aus. Sowohl für Windows, Apple OS, Linux und Android liegen mittlerweile Updates vor. Allerdings reichen diese Updates oftmals nicht, um die Schwachstellen endgültig zu schützen. Zusätzlich zum Update des Betriebssystems muss oft auch das BIOS für das Motherboard aktualisiert werden. Einige Hersteller haben hier bereits erste Updates veröffentlicht, für die grosse Mehrheit liegen aber noch keine Aktualisierungen vor.

Gut sieht es bei der Aktualisierung der Browser aus: Für die vier grossen Browser liegen bereits Updates vor und können installiert werden, so dass das Ausnützen der Sicherheitslücken über den Browser verhindert werden kann.

Was kann ich tun?

Überprüfen Sie regelmässig, ob für Ihre Geräte Updates verfügbar sind und installieren Sie diese umgehend. Dies gilt insbesondere auch für mobile Geräte. Gerüchteweise ist zu hören, dass die Updates die Rechner verlangsamen, da sie auf die spekulative Anwendung verzichten. Für private Anwender ist dies allerdings nicht wirklich spürbar, für Anbieter von Cloud-Dienstleistungen hingegen sind die Auswirkungen sehr wohl bemerkbar.

Kritiker behaupten, die aktuell veröffentlichen Patches seien eher dazu gedacht, weitere Schwachstellen zu vertuschen. Die abschliessende Lösung wäre neue Prozessoren mit einer entsprechend sicheren Prozessorarchitektur. Ob und bis wann solche Prozessoren verfügbar sein werden, ist offen – tendenziell frühestens im zweiten Halbjahr 2018. Klar ist auf jeden Fall, dass es noch Jahrzehnte dauern wird, bis alle Prozessoren mit Schwachstellen ersetzt sein werden.


Blogpost wurde erstellt von Thomas Dinkel
im Rahmen vom CAS Information Security & Risk Management.

Dozenten in diesem sehr praxisorientierten Lehrgang sind:
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (Governance Concept GmbH),
Andreas Wisler (goSecurity GmbH)

Beim nächsten CAS live dabei sein?
Hier der Link zur Ausschreibung CAS Information Security & Risk Management
Der CAS findet in der Regel zweimal im Jahr statt. Starttermine: März & September

Persönliche Beratung für den Lehrgang gewünscht?
Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Captcha loading...