Meltdown und Spectre: Was Windows-Nutzer wissen müssen

Zum Jahresanfang wurde ja ein Designfehler in Intels Prozessoren entdeckt, der zu Sicherheitsproblemen führen kann. Alle Betriebssystemhersteller bessern nach, um diese Sicherheitsprobleme zu entschärfen. In diesem Blog-Beitrag fasse ich Informationen zusammen, die für Windows-Nutzer relevant und wichtig sind.


Anzeige


Worum geht es genau?

Sicherheitsforscher vom Google Project Zero haben eine Design-Schwäche in Prozessoren beschrieben, die Sicherheitslücken aufreißen und sogenannte “speculative execution side-channel attacks” (spekulative Seitenkanalangriffe) ermöglichen könnten. Gleichzeitig ist es Google Sicherheitsforscher Jann Horn, vom Project Zero, gelungen, ein Exploit zu schreiben, um das auszunutzen.

Konkret liegt ein Problem bei der Verwaltung von Speicherbereichen vor, welches einem Angreifer ermöglicht, ohne Berechtigungsnachweis auf Speicherinhalte fremder Prozesse zuzugreifen. Dies bedeutet, aus einem Browser oder einer Anwendung, die mit normalen Rechten läuft, könnte auf Speicherbereiche des Betriebssystemkerns zugegriffen werden. Einige Details zu diesem Szenario habe ich im Blog-Beitrag Sicherheitslücke: Bug in Intel CPUs bedroht Betriebssysteme beschrieben.

Hintergrund ist ein Mechanismus in modernen CPUs, der Speicherbereiche in einen Zwischenspeicher holt, bevor dieser im Programm von der CPU benötigt wird. Hat die CPU eine nicht benötigte Speicherzelle geladen, wird diese ggf. wieder verworfen. Oft sind aber passende Speicherinhalte im Zwischenspeicher, so das die CPU schneller darauf zugreifen kann. Durch diese prädiktiven Speicherzugriffe lässt sich die Verarbeitungsgeschwindigkeit steigern. Problem ist, dass durch diesen Mechanismus Angriffskanäle geöffnet werden, bei denen unberechtigte Prozesse auf Daten zugreifen können, für die sie eigentlich keine Berechtigung haben.

Die internen Details sind in dem oben verlinkten Google-Dokument beschrieben. Inzwischen sind die Sicherheitslücken mit folgenden CVEs belegt worden:

Hierbei kommen die theoretischen Grundlagen zum Einsatz, die in diversen Forschungsdokumenten (u.a. von der Uni Graz) unter folgenden Namen bekannt sind.

  • Spectre (Variante 1 und 2): Diese durchbricht die Isolation zwischen verschiedenen Anwendungen. Es ermöglicht es einem Angreifer, fehlerfreie Programme, die Best Practices befolgen, zu täuschen, damit sie ihre Daten preisgeben. Tatsächlich erhöhen die Sicherheitsüberprüfungen im Rahmen der Best Practices sogar die Angriffsfläche und können Anwendungen anfälliger für Spectre machen.
  • Meltdown (Variante 3): Diese durchbricht die grundlegende Isolierung zwischen Benutzeranwendungen und dem Betriebssystem. Dieser Angriff ermöglicht es einem Programm, auf den Speicher und damit auch auf die Daten anderer Programme und des Betriebssystems zuzugreifen.

Über die Links lassen sich die betreffenden PDF-Dokumente abrufen. Einige Informationen finden sich auch unter meltdownattack.com.

Meltdown/Spectre

Welche CPUs sind betroffen?

Zuerst hieß es, dass nur Intel Prozessoren betroffen seien. Inzwischen kristallisiert sich heraus, dass auch ARM-CPUs und die Prozessoren von AMD anfällig für diese Designschwäche sind. Dies bedeutet, dass neben Windows auch andere Betriebssysteme wie Android, Chrome, iOS, MacOS, Linux etc. betroffen sind. Im Grunde betrifft es wohl alle Prozessoren, die seit 1995 auf den Markt kamen (siehe auch).


Werbung

Browser sind auch betroffen!

In diesem Dokument nimmt Microsoft bezüglich der ‘speculative execution side-channel’-Angriffe im Microsoft Edge und im Internet Explorer Stellung. Der Hersteller hat in beiden Browsern mit Update KB4056890 Änderungen in den unterstützten Versionen von Microsoft Edge und Internet Explorer 11 vorgenommen. Es wurden die Fähigkeit zum erfolgreichen Lesen des Speichers, die durch die neue Klasse von Seitenkanalangriffen möglich wurden, deaktiviert. Dadurch soll die Sicherheitslücke durch die fehlerhafte Speicherverwaltung der CPUs an dieser Stelle entschärft werden.

Benutzer, die andere Browser unter Windows einsetzen, müssen deren Hersteller kontaktieren und nachsehen, ob eine aktualisierte Version verfügbar ist. Die Mozilla-Entwickler haben beispielsweise bestätigt, dass ein Angriff sogar per JavaScript im Browser möglich ist.

Wie wird das Ganze eingeschätzt?

Microsoft schreibt in diesem Sicherheits-Advisory, dass bisher keine Angriffe über diese Schwachstellen bekannt geworden sind. Solche Angriffe, so sie denn stattfinden, hinterlassen keine Spuren und sind auch nicht durch Sicherheitssoftware wie Virenscanner aufspürbar. Über die praktische Ausnutzbarkeit liegen mir widersprüchliche Angaben vor.

Es gibt angeblich Proof-of-Concept-Beispiele, die das Abrufen von Kennwörtern durch Anwendungen demonstrieren sollen. Andererseits liegen mir Stellungnahmen von Sicherheitsanbietern vor, die es für extrem aufwändig halten, solche Exploits zum gezielten Datenklau zu entwickeln. Ich kann es nicht endgültig beurteilen.

Microsoft hat für seine Benutzer Sicherheitsempfehlungen für Client- und für Server-Betriebssysteme herausgegeben.

Die Sicherheitsempfehlungen richten sich aber an professionelle Anwender und sind in Englisch verfasst. Für Konsumenten in kurz: Microsoft empfiehlt, die Betriebssysteme und Browser zu aktualisieren. Dafür hat der Hersteller entsprechende Updates freigegeben.

Welche Updates gibt es von Microsoft?

Microsoft hat am 3. Januar 2018 (und danach) sowohl Sicherheitsupdates für seine Browser Edge und Internet Explorer, als auch für die unterstützten Betriebssysteme freigegeben. Ich habe die Details in folgenden Blog-Beiträgen dokumentiert.

Windows 10: Kritische Updates vom 3.1.2018
Kritische Sicherheitsupdates für Windows 7/8.1/Server (3./4.1.2018)
Weitere Updates (Internet Explorer, GDI) 3.1.2018

Diese Updates werden über Windows Update (oder in Unternehmen per WSUS bzw. SCCM) verteilt.

Warum bekomme ich kein Update?

Die Sicherheitsupdates für Windows sowie für die Browser Edge und Internet Explorer werden über Windows Update (nach meinem dafürhalten) in Wellen verteilt. Auch auf meinen Windows 7- und Windows 10-Maschinen habe ich noch kein Update erhalten. So kann Microsoft beobachten, ob es mit den Updates größere Probleme gibt und nachbessern

Ein Grund, warum Microsoft das Update zurückhält: Es ist eine Fremd-Internet Security Suite oder –Virenscanner installiert und dessen Hersteller hat das Update aus Kompatibilitätsgründen noch nicht freigegeben. Zu diesem Punkt und dem Registrierungseintrag habe ich in den betreffenden Update-Artikeln zu Windows etwas geschrieben. Zudem hat Microsoft hier einige Informationen zum Thema veröffentlicht.

Der WSUS listet die Updates, liefert aber nicht aus?

Es ging in den Kommentaren hier im Blog bereits die Feststellung um, dass die Updates im WSUS angezeigt werden, aber nicht an die Clients ausgeliefert werden. Solange auf den Clients die benötigten Registrierungseinträge durch die Antiviruslösungen gesetzt sind, unterlässt WSUS die Auslieferung (siehe auch diesen Microsoft-Artikel). Eine entsprechende Diskussion findet sich auch in meinem Google+-Post.

Soll ich die Updates manuell installieren?

Aktuell finden sich zahlreiche Internetseiten, die die direkten Download-Links für die Update-Pakete anbieten. Auch im Microsoft Update Catalog lassen sich die Updates herunterladen.

Aktuell rate ich jedoch von der manuellen Installation ab. Ist die Maschine für das Update nicht freigegeben (z.B. weil der Fremdvirenscanner nicht auf den neuen Kernel abgestimmt ist), kann die Installation der Updates zu BlueScreens führen. Es gibt auch Fälle, wo das System im Anschluss nicht mehr booten kann.

Wichtig: Daher rate ich auch davon ab, den in den KB-Artikeln genannten Registrierungseintrag manuell zu setzen, um ggf. die Update-Auslieferung per Windows Update zu erzwingen.

Hat das Update Leistungseinbußen zur Folge?

Hier gehen die Aussagen auseinander. Konkret lässt sich nur ausführen, dass die Leistungseinbuße vom Einsatzszenario abhängt. Normale Anwender dürften kaum eine Leistungseinbuße ihrer Maschine feststellen (1 – 5 %). Bei Anwendungen, die eine große Datenlast erzeugen (Datenbanken, Grafik etc.) kann die Leistungseinbuße aber zwischen 30 und 50% betragen.

Kann ich prüfen, ob meine Maschine angreifbar ist?

Microsoft hat für Windows ein PowerShell cmdlet bereitgestellt, mit dem man überprüfen kann, ob Maßnahmen durchzuführen sind.

Speculation-Control-Settings in PowerShell abfragen

Hier die Befehle, die ich verwendet habe:

Set-ExecutionPolicy Bypass 
Install-Module SpeculationControl
Get-SpeculationControlSettings

Microsoft hat die betreffenden Anweisungen z.B. in diesem Dokument beschrieben. Die PowerShell muss mit administrativen Berechtigungen ausgeführt werden. Auf meinen Windows 7-Systemen war das Script aber nicht lauffähig. Ein paar Details finden sich auch bei Bleeping Computer zum Thema.

Ähnliche Artikel
Sicherheitslücke: Bug in Intel CPUs bedroht Betriebssysteme
Windows 10: Patch fixt den Intel-Bug
Kritische Updates für Windows und Browser (3.1.2018)
Windows 10: Kritische Updates vom 3.1.2018
Kritische Sicherheitsupdates für Windows 7/8.1/Server (3.1.2018)
Weitere Updates (Internet Explorer, GDI) 3.1.2018

Windows10: Update KB4056892 killt AMD-Systeme (Error 0x800f0845)
Windows 7: Update KB4056894 macht Probleme (0x000000C4)
Windows Updates (KB4056892, KB4056894 etc.) für AMD temporär zurückgezogen
Meltdown/Spectre: Leistungseinbußen durch Patches

Infos zu Meltdown und Spectre: Was man wissen sollte – Teil 1
Infos zu Meltdown und Spectre: Was man wissen sollte – Teil 2


Werbung


Dieser Beitrag wurde unter Edge, Google Chrome, Internet Explorer, Sicherheit, Update, Windows 10, Windows 7, Windows 8.1, Windows RT, Windows Server abgelegt und mit , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

36 Kommentare zu Meltdown und Spectre: Was Windows-Nutzer wissen müssen

  1. deoroller sagt:

    Bei Chromium basierenden Browsern kann die Option “Website-Isolierung” aktiviert werden. So sieht das bei Opera 50.0.2762.45, der gestern erschienen ist, aus:
    https://abload.de/img/operaintellcke78q2v.jpg
    siehe auch https://www.heise.de/security/meldung/Prozessor-Bug-Browser-Hersteller-reagieren-auf-Meltdown-und-Spectre-3933043.html?wt_mc=rss.ho.beitrag.rdf

  2. PiXi sagt:

    Vielen, lieben Dank für diesen sehr hilfreichen, verständlichen und informativen Beitrag.

  3. Bolko sagt:

    Übersicht über die Virenscanner, die aktuell kompatibel bzw nicht kompatibel sind. Liste wird hin und wieder aktualisiert.
    https://docs.google.com/spreadsheets/d/184wcDt9I9TUNFFbsAVLpzAtckQxYiuirADzf3cL42FQ/htmlview?sle=true#gid=0

  4. Facelwega sagt:

    https://www.computerbase.de/2018-01/intel-cpu-pti-sicherheitsluecke/

    Ich weiss nicht ob ich mich standesgemäss verhalte. Sorry. Aber hier weren für den Fachmann doch einige interessante Daten / Feststellungen aufgezeigt.

    Danke.

    Facelwega

    • Günter Born sagt:

      Das ist der alte Beitrag, der in meinen ersten Blog-Beiträgen schon verlinkt wurde, aber wenig zu den obigen Ausführungen beitragen kann (zum Zeitpunkt, als ComputerBase den Text verfasst hat, waren von Microsoft noch keine Details bekannt).

      • Facelwega sagt:

        Anders als vermutet hat Microsoft neben Windows 10 (Siehe HIER und HIER) auch Windows 7 mit dem Sicherheitsupdate KB4056897 versorgt. Auch hier handelt es sich um den ersten Patch für das Problem der Intel-CPU und der Angreifbarkeit. Wie auch bei den anderen Betriebssystemen sei darauf hingewiesen, dass das Update nur angeboten wird, wenn die externe Antiviren-Software darauf vorbereitet ist.

        Wäre nachstehender Kommentar noch hilfreich in Sachen Anpassung AntiVirus-Programm?

        Dies kann in der Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat wenn unter cadca5fe-87d3-4b96-b7fb-a231484277cc der Wert auf 0 steht. Die offizielle Beschreibung für die Verbesserungen und Korrekturen fällt auch hier spärlich aus. „Sicherheitsupdates für Microsoft Grafikkomponente, Windows Grafik, Windows Kernel und Windows SMB Server.

        • Günter Born sagt:

          Die Registry-Info steckt in den diversen Blog-Beiträgen zu den Updates. Die ist aber für normale Anwender nicht relevant bzw. hilfreich. Ich warnte davor, da selbst zu basteln (ist kein Workaround, um die Updates zu bekommen). Die Kommentare, dass Boot-Schleifen und BlueScreens auftreten, die es hier gibt, sprechen beredte Worte. Das ist jetzt alles von Microsoft mit heißer Nadel gestrickt.

          Ich habe bisher noch kein Update erhalten.

          • Frank sagt:

            Die Reg-Info bezieht sich eigentlich auf Systeme ohne AV-Software, damit diese auch das Update erhalten. Die gibt’s auch noch!?

  5. Nobody sagt:

    Bedanke mich ebenfalls für die verständlichen Informationen.
    Wenn es stimmt, dass die Sicherheitslücke bisher nicht ausgenutzt wurde und es extrem schwierig ist, dieses zu tun, ist die allseits helle Aufregung vielleicht etwas übertrieben.

    • Günter Born sagt:

      Die Aufregung ist verständlich, weil a) niemand weiß, ob nicht doch jemand es schafft, das Ganze auszunutzen – und alte Browser für Angriffe verwendet werden können. Und b) dürften viele Systeme schlicht keine Updates bekommen, weil sie aus den Update-Zyklen rausgefallen sind (z.B. das ganze Android-Geraffel). Von IoT-Geräten wie Routern und Kommunikationsinfrastruktur gar nicht zu reden.

      • blähton sagt:

        moin.
        ja,
        aber auch verständlich? wohl eher weniger.
        Weil die meisten, wie so oft, rum- bzw. mittröten, ohne auch nur den Hauch einer Ahnung verstanden zu haben. Wenn selbst Tech-boards wie heise, golem etc. darauf hinweisen, dass das ganze eher sehr kompliziert denn trivial ist, eben auch die pot. Angriffe, dann sollte man vlt doch zunächst maln Gang runterschalten?!
        und “ob nicht doch jemand es schafft, das Ganze auszunutzen” gilt generell. Ist ungefähr so zutreffend und-oder hilfreich, wie nie mehr auf die Straße gehen, denn sonst könnt einem ein Dachziegel auf den Kopp plumpsen.
        Will da nix relativieren, aber wenn sooo gefährlich, warum sind dann noch alle Systeme (+/-) weitgehend funktional?
        😉

  6. Trillian sagt:

    Moin Herr Born!

    Vielen Dank für dieses übersichtliche Informationskonzentrat. Auf meinen Windows 7 SP1 Systemen konnte ich das PowerShell Script zum Laufen bringen. Allerdings musste mit der Befehlszeile “PS > Set-ExecutionPolicy Bypass” ein wenig nachgeholfen werden. Das Ergebnis war ziemlich ernüchternd und entsprach dem oben gezeigten Screenshot…

  7. Bolko sagt:

    Beispiel Code in c, zur Demo von Spectre, funktioniert auch auf AMD:

    https://gist.github.com/ErikAugust/724d4a969fb2c6ae1bbd7b2a9e3d4bb6

    Die Zeile #define CACHE_HIT_THRESHOLD(80) muss angepasst werden, je nach Compiler-Version müssen die Klammern weg (sonst Syntaxfehler) und je nach CPU muss der Wert abgepasst werden (sonst kein Erfolg).

    Funktioniert auf Windows, Linux, MacOS, FreeBSD.

  8. Andreas B. sagt:

    Update Firefox 57.0.4 wird mir grad angeboten und soll anscheinend diese Sache adressieren. (Release-Notes dazu kommen wohl erst noch.)

  9. Gasty sagt:

    Bei mir und anderen wurde das benannte kum. Update für Win 10 V. 1709 nicht per Windows Update angeboten, selbst wenn der nachfolgende Registry-Eintrag schon vorhanden war oder dahingehend geändert wurde. Der vielgepriesene Workaround entpuppte sich als Luftnummer. Offenbar hängt es NICHT daran.

    Key=”HKEY_LOCAL_MACHINE”
    Subkey=”SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat”
    Value Name=”cadca5fe-87d3-4b96-b7fb-a231484277cc”
    Type=”REG_DWORD”
    Data=”0x00000000″

  10. PiXi sagt:

    Hallo, nachdem mein AV Anbieter auf den Patch durch erstellen des Registry Schüssel reagiert hat, wurde mir heute Nacht ein Update mit der KB-Nummer: 4056894 Monatliches Sicherheitsqualitätsrollup für Windows 7 für x86 basierte Systeme angeboten. Ich habe dieses installiert und bekam danach eine Bootschleife ich habe dann die Systemwiederherstellung bemüht und danach es erneut versucht, mit dem gleichen Ergebnis. Bei einem Neustart des Rechners nach dem Updatevorgang kam erneut eine Bootschleife. Wie sollte ich jetzt weiter vorgehen? Werde das Update erst einmal nicht installieren, macht ja zurzeit keinen Sinn? Hat jemand ähnliche Erfahrungen gemacht?
    Grüße PiXi

  11. PiXi sagt:

    Nachtrag: Habe jetzt versucht KB 4056897 (Security-only update) zu installieren. Nach der Installation könnte mein Rechner nicht mehr booten. Ich habe die Systemstartreperatur bemüht. Fazit: Das Problem wurde möglicherweise durch nicht angegebene Systemkonfikurationsänderungen verursacht. Fehlercode: 0x1f und 0x490

  12. Nils sagt:

    Apple hat übrigens bestätigt, dass auch alle iPhones von dem Hardware Problem betroffen sind. Es ist also davon auszugehen, dass auch viele andere Smartphone Hersteller dieses Problem haben.

  13. Eklatantes Fehlverhalten sagt:

    Wie genau kommt denn dieser “Angreifer” – und WER ist das überhaupt – auf meinen Rechner?
    Muß der nicht erst am Router und der Firewall vorbei?

    Oh, und JAVA zum Beispiel habe ich überhaut NICHT auf dem Rechner, weder im System noch im Browser als Erweiterung oder PlugIn. Hilft das?

    • Frank sagt:

      der kommt als Schadsoftware. Siehe mal bitte hier:
      https://www.bsi-fuer-buerger.de/

    • Günter Born sagt:

      Nun ja, ein ungepatchter Browser reicht, um auf die Speicherbereiche zuzugreifen. Dazu soll es noch Malware geben, die es auf Nutzersysteme schafft – gibt zwar Leute, die behaupten, mit brain.exe geschützt zu sein, aber na ja.

      Nur ein ganz kurzer Gedankenschnipsel: Man schickt einfach eine Schadroutine über eine Malware-Kampagne per E-Mail und kompromittierten Webseiten los. Auf den Clients schlagen die Virenscanner an und lassen den Code des Anhangs in virtuellen Umgebungen scannen und ausführen. Gelingt es, dem Schadcode ausgeführt zu werden, kann er schlicht Speicherbereiche lesen, für die er keine Berechtigung hat. Das bekommt der Virenscanner nicht mit.

      Und mal über den Horizont denken. Unsere gesamte Infrastruktur basiert inzwischen leider auf Digitalisierung. Mal überlegt, was passiert, wenn die Cloud-Speicher durch solche Angriffe auf die betreffenden Server angegriffen werden. Gerade gestern einen Tweet eines Sicherheitsforschers gelesen, dass die Leute, die eine Bitcoin Börse betreiben, jetzt nicht mehr ruhig schlafen können …

      Alle virtuellen Server sind theoretisch unsicher – die Gäste können auf die Speicherbereiche des Hosts zugreifen. Also einen AWS bei Amazon oder auf Azure angemietet (oder kostenlos zum Test beantragt) und dort Schadcode ausgeführt. Dann schauen, was der an Informationen fängt …

      Aktuell hängt es daran, dass die Sache noch zu frisch ist, als das die bösen Buben Exploits entwickeln konnten. Aber wo Geld winkt, kennt die Phantasie ungeahnte Größe …

  14. PiXi sagt:

    Lieber Herr Born,
    ich bin wirklich verzweifelt. Können Sie mir eventuell sagen, warum ich das Sicherheitsupdate nicht installieren kann? Ich hatte oben schon Details dazu gepostet. Vielen, lieben Dank für Ihre Antwort im Voraus.
    Grüße PiXi

    • Günter Born sagt:

      Irgend welche Software wird dort auf’s Kreuz gelegt:

      Bug Check 0x1F: SHARED_RESOURCE_CONV_ERROR

      Code 0x490: siehe

      Heißt: Auf diesem System lässt sich das Update eher nicht installieren. Keine Chance, da was definitives zu sagen. Die Verursacher könnte man möglicherweise per Dump-Analyse herausfinden. Dazu fehlen mir momentan die Ressourcen.

  15. PiXi sagt:

    Vielen lieben Dank für Ihre Antwort.
    Vielleicht liegt es an meinem neu installierten Virenschutz von EAM?
    Im Dezember konnte ich nämlich noch alle Updates installieren und da hatte ich den Virenschutz den ich jetzt nutze noch nicht installiert.

    • Günter Born sagt:

      Da kommen wir der Sache näher. EAM deinstallieren und deren Clean Tool verwenden. Dann ein Clean Tool des vorherigen AV-Herstellers ausführen – damit das System von Installationsresten bereinigt ist.

      Dann Microsoft Security Essentials installieren – um einen Virenschutz unter Windows 7 zu haben. Testen ob es geht – falls ja: Entscheidungen treffen. Ich koppele mich aus diesem Thema damit aus.

  16. Phadda sagt:

    Also laut Apple ist alles “OK”
    Apple released mitigations for Meltdown in iOS 11.2, macOS 10.13.2, and tvOS 11.2. watchOS did not require mitigation.
    https://support.apple.com/en-us/HT208394

  17. Andreas B. sagt:

    KB4056894
    January 4, 2018—KB4056894 (Monthly Rollup) für Windows Server 2008 R2 SP1, Windows 7 SP1
    scheint ein Paket aus den beiden gestern unter den Überschriften “Wichtige …” und “Weitere …” gemeldeten Updates zu sein.

    […] addresses the following issues: Security updates to Windows SMB Server, Windows Kernel, Microsoft Graphics Component, Internet Explorer, and Windows Graphics.

    Kam bei mir kurz nach Mitternacht und wurde ohne Probleme installiert.

  18. SteffenK sagt:

    Moinsen,

    mein PS 6 kennt kein “Get-WmiObject”. Somit kann bekomme ich nur für den ersten Teile Ergebnisse angebzeigt. Hat jemand eine Idee?

    VG, Steffen

  19. SteffenK sagt:

    Ignoriert bitte beide Posts. Irgnedwie ist heute der Wurm drin. ;o)

    VG, Steffen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.