Neue Spectre-NG-Sicherheitslücken in Intel CPUs

[English]In Intel CPUs gibt es neue, teilweise hoch riskante Sicherheitslücken. Und für das Ganze stehen noch keine Microcode-Patches zur Verfügung. Beim Thema Spectre/Meltdown und CPU-Sicherheitslücken ist kein Ende in Sicht. Hier ein kurzer Abriss des Bisherigen und ein Überblick über neue Entdeckte Spectre-NG-Sicherheitslücken.


Anzeige

Zuerst ein kurzer Rückblick auf die Situation bei den bekannten Sicherheitslücken Meltdown und Spectre.

Spectre und Meltdown, seit Sommer 2017 bekannt

Es ist ein Trauerspiel: Die als Meltdown bekannte Sicherheitslücke war Intel bereits seit Sommer bekannt. Spectre ist ebenfalls in seinen Varianten seit einiger Zeit bekannt, betrifft aber auch andere Hersteller. Intel versuchte erst abzuwiegeln – um dann ab 3./4. Januar 2018 hektisch mit Microsoft zu patchen.

Mainboard
(Quelle: Pexels Fancycrave CC0 License)

Das ging ziemlich in die Hose, und die ersten Microcode-Updates und Patches mussten zurückgezogen werden. Aktuell ist es so, dass nur für ein geringer Teil von Mainboards Firmware-Updates zum Härten gegen die beiden Sicherheitslücken existieren. Eine Übersicht über die von Intel verfügbaren Microcode-Updates findet sich in folgenden Blog-Beiträgen

Intel Microcode-Updates Stand 11. März 2018
Ausgepatcht: Keine Microcode-Updates für ältere Intel-CPUs

Windows-Schutz: Ein Desaster

Bei Microsoft ging mit den Patches die Sicherheit komplett den Bach herunter. Es gab zwar Patches gegen Meltdown und Spectre, sowie Microcode-Updates für diverse Windows-Versionen (siehe z.B. Windows 10: Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666, KB4078407). Aber der Teufel liegt auch hier im Details.

Im gerade erschienenen Windows 10 April Update (Version 1803) sind die Microcode-Updates gegen Spectre V2 herausgefallen, alte Updates lassen sich nicht installieren. Erst mit der im Herbst erwarteten Windows 10 Version 1809 sollen Microcode-Updates im Betriebssystem integriert sein.


Werbung

Aber es gibt weiteres Unbill. Die Microsoft-Updates gegen Meltdown rissen eine als Total Meltdown bezeichnete Sicherheitslücke in Windows. Ich hatte in folgenden Blog-Beiträgen über die Lücke in Windows 7/Server 2008 R2 berichtet:

Windows 7: Januar-/Februar 2018-Patches reißen Total Meltdown-Sicherheitslücke
Windows 7/Server 2008 R2: Total Meltdown-Exploit verfügbar

Die Nacht wurde bekannt, dass so etwas wie Total Meltdown auch unter Windows 10 per API-Aufruf existiert (siehe Windows 10: Meltdown-Patch Bypass und Windows Host Compute Service Shim Sicherheitslücken). Nur in Windows 10 Version 1803 ist das Problem behoben, für ältere Windows 10-Versionen sitzt Microsoft noch an Updates.

Momentan ist es nur ein großes Glück, dass die Sicherheitslücken wohl nicht so ganz trivial ausnutzbar sind. Abgesehen von Total Meltdown ist kein Exploit bekannt, der einen Informationsabfluss ermöglicht. Aktuell dürfte es für Angreifer einfacher zu sein, andere Schwachstellen zu nutzen, um Informationen abzugreifen oder Systeme zu infizieren.

Neue Spectre-NG-Sicherheitslücken in Intel CPUs

Gerade ist eine Mail der heise.de-Redaktion bei mir eingetroffen. Die c’t hat weitere Spectre-Sicherheitslücken in Intel CPUs aufgedeckt. In diesem Artikel auf heise.de schreibt man, dass die bisherigen Prozessor-Angriffsszenarien Spectre und Meltdown nur die Spitze des Eisbergs sind. In Intels CPUs gibt es mindestens acht weitere Sicherheitslücken, die Spectre Next Generation getauft wurden.

Intel hält die Informationen zu den Spectre-Next-Generation-Lücken allerdings noch geheim. Das belegen Infor­ma­tio­nen, die dem Computer­magazin c’t (nach deren Aussage) exklusiv vorliegen. Vier dieser Sicherheitslücken werden, laut heise.de von Intel mit hohem Risiko eingestuft, die Gefahr der anderen vier wird mit „mittel“ bewertet.

Die heise.de-Redaktion schreibt, dass die Angriffssze­na­rien ähnlich einzustufen sind wie bei Spectre im Januar. „Eine der neuen Lücken vereinfacht jedoch Angriffe über Systemgrenzen hinweg so stark, dass wir das Bedrohungspotenzial deutlich höher einstufen als bei Spectre. Besonders betroffen sind Anbieter von Cloud-Diensten wie Amazon oder Cloudfare und natürlich deren Kunden“, erklärt Schmidt. „Passwörter für sichere Datenübertragung sind sehr begehrte Ziele und durch diese neuen Lücken akut gefährdet.“

Wann die ersten Patches, also Updates für die neuen Spectre-Lücken, Spectre-NG, kommen, ist bislang laut heise.de nicht klar. „Anscheinend plant Intel zwei Patch-Wellen“, sagt Jürgen Schmidt, Sicherheitsexperte beim Computer­magazin c’t. „Eine erste soll bereits im Mai anrollen; eine zweite ist für August angedacht.“ Einige Microcode-Updates wird Intel wohl selbst erstellen und an OEMs ausliefern. Andere Patches sollen mit Betriebssystemherstellern entwickelt werden.

Am 8. Mai 2018 könnte es einen ersten Patch geben. Denn eine dieser Lücken hat wohl Googles Project Zero gefunden. Am 7. Mai 2018 läuft die 90-Tages-Frist, die das Google Team dem Hersteller typischerweise vor einer Veröffentlichung einräumt, ab. Dann wäre also am 8. Mai 2018 patchen angesagt. Laut heise.de rechnet Intel bei einer zweiten Lücke damit, dass die Informationen ‘jederzeit’ an die Öffentlichkeit kommen könnte. Einige Sicherheitslücken scheinen auch bei ARM-CPUS ausnutzbar. Die heise.de-Reaktion hat folgendes Video zum Thema bereitgestellt.

(Quelle: heise.de/YouTube.com)

Mehr Details hat heise.de im Beitrag Super-GAU für Intel: Weitere Spectre-Lücken im Anflug veröffentlicht. Die konkrete Gefahr für Privatleute und Firmen-PCs ist als eher gering einzuschätzen. Ich hatte es bereits oben erwähnt: In aller Regel gibt es in diesen Umgebungen andere, einfacher auszunutzende Schwachstellen. Es gilt: Kein Grund zur Panik, aber man muss man die neuen Sicherheitslücken ernst nehmen.

PS: Golem hat sich in diesem Beitrag am Thema Leistungsverlust durch Meltdown- und Spectre-Patches abgearbeitet. Tenor: Weniger schlimm als erwartet.

Ergänzung: Inzwischen hat Intel am 3. Mai 2018 eine magere Stellungnahme auf dieser Webseite publiziert.


Anzeige
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

26 Responses to Neue Spectre-NG-Sicherheitslücken in Intel CPUs

  1. Al CiD sagt:

    Und da habe ich mir im Januar noch gedacht:
    Lächle, sei froh, es hätte ja schlimmer kommen können…

    Auf Gedeih und Verderben ist man der Hard- und Softwareindustrie ausgeliefert, (reale) Alternativen an Hardware gibt es nicht, da ja alle auf der gleichen Basis arbeiten- davon ausgehend, dass die China-CPUs auch auf x86-Inteltechnik setzen (zB. über VIA) – somit dürfte im Prinzip auch AMD davon betroffen sein, wird ja noch geprüft.

    Ein (weiterer) Fall für die Gerichte in den USA.

  2. durst sagt:

    Das Problem ist allerdings in allererster Linie Intel und seine löchrigen (“wie ein Schweizer Käse”), falsch konzipierten CPUs.
    Und nicht Microsoft etc., sollte vlt deutlich(er) angemerkt werden. Was hier ja, wie immer, schwer fällt… ;)

  3. Werbung

  4. Robert sagt:

    Laut dem InSpectre Tool von GRC bin ich Meltdown Protected -> YES aber Spectre Protected -> NO. Und es seien beim mir Microcode Updates erhältlich. Nur wo kriege ich die her? Das steht da leider nicht. Kommen die über Windows Update? Ich blick da echt nicht mehr durch.

  5. Dekre sagt:

    Gibt es was neues vom BER?

    Habe langsam den Verdacht, dass Intel von einer deutschen Behörde gesteuert wird.

  6. Martin sagt:

    Da hat Intel letzten Monat endlich die Microcode-Updates für Nehalem-CPUs fertig, die Supermicro aber noch nicht in Biosupdates für seine X8 und X9 Boards bringen konnte, da kommt schon wieder neues Ungemach und ich fürchte, dass da für die neuen Lücken bei den Nehalem-CPUs aus 2009 nichts mehr zu machen sein wird.
    https://www.supermicro.com/support/security_Intel-SA-00088.cfm?pg=X9

    • Anonymous sagt:

      Letztendlich muss ich ohnehin kapitulieren, da es für meine Nvidia NVS (mit G98) kein Treiberupdate mehr gibt und ich auf der Version 342.00 festsitze.

    • Martin sagt:

      Letztendlich muss ich ohnehin kapitulieren, da es für meine Nvidia NVS (mit G98) kein Treiberupdate mehr gibt und ich auf der Version 342.00 festsitze.

  7. Buchhalter sagt:

    Meiner Meinung nach ist die Cloud mit dem Datenschutz grundsätzlich unvereinbar. Ich traue keinem der großen Anbieter zu, daß er Daten ausreichend schützen kann.

    Nimmt man jetzt Spectre-NG noch dazu, dann gilt:

    Cloud + Spectre-NG = Daten sind hochgradig gefährdet!

    Spätestens ab jetzt muß jedem klar sein, daß die Speicherung von Daten in der Cloud grob fahrlässig ist! Und das nicht nur im Sinne der DSGVO.

    Wer auf den Datenschutz gemäß DSGVO wert legt, der wird sich jetzt wohl schleunigst aus der Cloud verabschieden müssen. Da kommt bis zum 25.05.2018 noch viel Arbeit auf die Verantwortlichen und deren Auftragsverarbeiter zu.

    BTW: Strafen gemäß DSGVO sind so zu bemessen, daß diese dem Gesetzesbrecher “weh tun” müssen.

    DSGVO, ick hör’ dir trapsen

    • Ben sagt:

      Deswegen verschlüsselt ein normal denkender Mensch ja auch seine Daten, BEVOR diese hochgeladen werden…

      Cryptomator, VeraCrypt, 7Zip mit AES…je nach Anwendungsgebiet/Änderungshäufigkeit.

      Die Cloud ist als Backup in dieser Form schon eine feine Sache. Was machst Du, wenn Dir die Bude abfackelt? Und Deine Rechner sowie die externe Backup-Festplatte gleich mit?

      • 00-acht sagt:

        Klar, “die Bude” fackelt ja, grad hier in West-Zentraleuropa, auch permanent ab. Weltweit bekannt, dieses ‘europe-BudenAbgeFackele’…
        heul.

        gute güte, wer sowas als Grundlage für die Rechtfertigung von klaut-Nutzung angeben muss, der, naja, hier schweigt der Dichter lieber…
        Und: jeder “normal denkende Mensch” nutzt eine Klaut nur, wenns absolut nicht anders geht. Und der Fall existiert nicht so wirklich. Weil es zB. vor nicht allzu langer Zeit noch gar keine gab. Und? Ging bestens.

        :-P

        • Ben sagt:

          Ich sag ja gar nicht, dass man unbedingt eine Cloud nutzen muss und ohne diese nicht leben kann, aber dieses Cloud-Gebashe geht mir andererseits auch voll auf die Nüsse.

          Was spricht gegen eine Nutzung, wenn die Daten vor dem Upload vernünftig (mit einer Open-Source-Lösung) verschlüsselt werden?

          Erst recht, wenn man diese sogar selbst hostet (eigener Webspace)?

          So ganz ohne ideologische Verblendungen jetzt?

      • Buchhalter sagt:

        Wie meinte Mark Zuckerberg (sinngemäß):
        “Sie geben mir ihre Daten – Sie vertrauen mir – Diese Idioten!”

        Wer Daten ohne Notwendigkeit einem Dritten gibt, der ist in meinen Augen sogar ein *großer* Idiot.

        Und wer die DSGVO beachten muß und seine Daten trotzdem in die Cloud stellt, der handelt grob fahrlässig. So jemanden nenne ich dann *Volltrottel*.

        In fast allen Fällen wird in der “Cloud” gespeichert, obwohl das komplett unnötig ist. Und wer das wirklich braucht, der soll auf seiner eigenen Hardware die Daten mittels VPN verfügbar machen. Und wer dazu nicht in der Lage ist, der braucht garantiert keine ge_Klaut!

        “Die Cloud ist als Backup in dieser Form schon eine feine Sache.”

        Was davon zu halten ist, das … (siehe oben).

        “Was machst Du, wenn Dir die Bude abfackelt? Und Deine Rechner sowie die externe Backup-Festplatte gleich mit?”

        Dann hole ich mir die Datensicherung aus dem Safe. Und dieser Safe befindet sich nicht in der “Bude”.

        Wir sind Auftragsverarbeiter iSd DSGVO. Wir wissen wie wertvoll unsere und die Daten unserer Kunden sind. Daher haben wir auch ein ordentliches Sicherheitskonzept. Die “Cloud” ist dabei ein 100 %iges Tabu.

        noch 21 Tage
        DSGVO, ick hör’ dir trapsen

        • Ben sagt:

          Wie gesagt/gefragt:

          Was spricht gegen die Cloud, wenn die Daten vor dem Upload mit einem sicheren und vertrauenswürdigen Verfahren verschlüsselt wurden?

          Auf diese Frage habe ich weder von Dir, Buchhalter, als auch von oo-acht eine Antwort erhalten.

          Der Cloud-Anbieter wird so auf die Rolle eines externen Festplatten-Anbieters reduziert, der außer Datenmüll nichts zu sehen bekommt.

          Solange Du mir die o.g. Frage nicht schlüssig beantworten kannst, ist alles andere fachlich unfundiertes Cloud-Gebashe.

          • Ralf Lindemann sagt:

            Ben: Die Antwort liegt in deiner Frage. Du hast den Schlüsselbegriff genannt: „vertrauenswürdige Verfahren“. Wann und wie lange ist eine Verschlüsselung vertrauenswürdig? Die technische Entwicklung geht immer weiter. Was heute als vertrauenswürdig und sicher gilt, kann sich in absehbarer Zeit als Fehleinschätzung erweisen. Ich greife mal zu einem prominenten Beispiel aus der jüngeren Vergangenheit: TrueCrypt galt viele Jahre als Inbegriff eines vertrauenswürdigen Verschlüssungstool, bis die Entwickler irgendwann meinten: „Ach nö, ist doch nicht sicher. Sorry, wir haben uns geirrt.“ Konsequenz: Die Entwickler haben TrueCrypt wegen Sicherheitsrisiken aus dem Netz genommen. Das von dir erwähnte 7-Zip ist jüngst auch wegen gravierender Sicherheitslücken heftig ins Gerede gekommen: Kann so eine Software ein „vertrauenswürdiges Verfahren“ für sensible Daten wirklich gewährleisten? Hinzu kommt, jede Verschlüsselung ist grundsätzlich an den Schnittstellen angreifbar, also dann, wenn verschlüsselt oder entschlüsselt wird. In jedem Verschlüsselungstool können unentdeckte Hintertüren lauern … Zu sagen: ich verschlüssle, also kann ich die Cloud bedenkenlos nutzen – so einfach ist es auch nicht …

          • nuub-verwirr sagt:

            was gegen die Cloud spricht, ob mit oder ohne Verschlüssel, egal?
            Eig. so ziemlich vieles oder sogar alles. So man in den letzten Jahren ab + an mal den Kopf angemacht hat…
            Aber jeder wie er/sie mag – oder kann.

            Und davon ab, sowohl Buchhalter als auch oo-acht haben dazu mehr als ausreichende Antworten gegeben. Und dies auch noch erkennbar gut (such…)

  8. Werbung

  9. wufuc_MaD sagt:

    kaum ist die neue windows version draußen…. oh mann.
    ich habe einen riesen aufwand betrieben um den mist, die beiden ersten “patches”, die microsoft an jedes win10 verteilen möchte sowie alle folgenden “mitigations” loszuwerden, ich ziehe ein “beta-bios” dem fertigen mit dem verseuchten microcode vor.
    dass der ehemalige intelchef viel geld mit seinem wissen um den geplanten verlauf der dinge gemacht hat, hätte in dem artikel noch erwähnung finden können.
    ernst nehm kann ich das nur insoweit, dass ich weiß das wir es hier mit multinationalen milliardenschweren us-konzernen zu tun haben. dass besonders microsoft und intel aber inzwischen auch google, gemeinsame sache machen.
    wie und warum sollte man sicherheitslücken, wenn die art und weise wie sie bekanntgemacht gemacht werden offenbar darauf abzielt verunsicherung zu stiften, “funktionen” möglichst schnell ohne dass man es verhindern kann (außer man betreibt einen riesen aufwand) in die hardware (firmware) injiziert werden, ernst nehmen?
    “zersetzung”, so sagte jacob applebaum (ehemaliger tor-entwickler) bei seinen vorträgen in den monaten nach snowden, sei das ziel welches ich nun erreicht sehe. ich finds wirklich ein bisschen traurig, was diese firmen, deren mitarbeiter überwiegend vorgeben computer und software zu lieben, gegenwärtig anrichten. ziel sind hier in jeder hinsicht die menschen. als obs keine dringenderen fragen mehr gäbe als, welche cyberhorrorstory als nächstes aus dem hut gezaubert werden kann. was hier gegenwärtig abläuft und die akteure, das ist die einzige bedrohung die ich sehe, die ist ernstzunehmen.

  10. ralf sagt:

    HEISE:
    “Nach deutlicher Kritik an Intels Informationspolitik zu den Sicherheitslücken Spectre Next Generation haben sich die Entwickler des freien Betriebssystems OpenBSD zu einem radikalen Schritt entschlossen: Künftig schalten sie bei Intel-Prozessoren die Multihhreading-Funktion Hyper-Threading ab.”

    https://www.heise.de/security/meldung/Spectre-NG-Luecken-OpenBSD-schaltet-Hyper-Threading-ab-4087035.html

    • Dekre sagt:

      Das was mE viele nicht verstehen und ich auch nicht, ist doch die Frage:

      Welche Auswirkung hat es für mich?

      Die dürfte doch generell so ausfallen – keine. Sofern nicht klar ob der Dieb durch das Kellerfenster, das Dachfenster oder über die Terrassentür kommt oder vom Finanzamt ist, so ist das doch im gewissen Grade alles sinnlos. Sag jetzt aber bitte nicht über Intel oder ist der PC schon vorher präpariert? Das ist er wohl nicht, oder?

      Es geht um strategische Punkte, die elektronisch gesteuert sind und wenn diese Leute der Sicherheit für diese strategischen Punkte diese nicht im Griff haben, so können wir unsere Updates machen wie wir wollen. Es ist alles Käse!!! Das ganze Sicherheitsgeschwafel ist sinnlos. Das sind doch die alten sog. BKA-Trojaner und diesen Erpressungsschnulli harmlos. Die kann man wenigsten sinnvoll bekämpfen.

  11. Al CiD sagt:

    Neue Sicherheitslücken bei Intel-CPUs entdeckt

    Nachdem letzte Woche schon ein OpenBSD-Entwickler verkündete aus Sicherheitsgründen Hyperthreading nicht per default zu aktivieren – (https://www.mail-archive.com/source-changes@openbsd.org/msg99141.html) – wird das Kind nun beim Namen genannt: TLBleed
    https://www.theregister.co.uk/2018/06/22/intel_tlbleed_key_data_leak/

    Ob AMD-CPUs auch davon betroffen sind bleibt abzuklären
    .

    • wufuc_MaD sagt:

      davon geh ich einfach mal aus. auch wenn amd kein markenrecht für betreffende betitelung beansprucht.

      guter beitrag, der zeit voraus, thx @ Al CiD !

      ausnahmsweise bin ich dann mit dem i5 mal nicht betroffen, der kann kein hyper-threading..

      dass intel schon seit 3 4 jahren das problem kennt ohne eine lösung parat zu haben, liegt wahrscheinlich an folgender schlechten nachricht: “Intel’s April 2015 whitepaper on what they call Cache Allocation Technology (CAT) has some simple benchmarks comparing CAT vs. no-CAT. In this example, they measure the latency to respond to PCIe interrupts while another application has heavy CPU-to-memory traffic, with CAT on and off… With CAT, average latency is 36% of latency without CAT.”

      das “abzuschwächen” wird richtig böse leistung fressen! abermals besonders für besitzer einer nvme ssd, die nunmal direkt am pcie-bus hängt, ein echtes ärgernis / enttäuschend…

    • Al CiD sagt:

      Update:
      im oben verlinkten Artikel gibt es ein Update von AMD (ganz unten)
      Scheint, als AMD-CPUs nicht von TLBleed betroffen sind (lt.AMD…)

      Zitat:
      A spokesperson for AMD has been in touch to say none of its chips are susceptible to TLBleed:

      Based on our analysis to date we have not identified any AMD products that are vulnerable to the TLBleed side channel attack identified by the researcher. Security remains a top priority and we will continue to work to identify any potential risks for our customers and, if needed, potential mitigations.

  12. ralf sagt:

    HEISE:
    “Forscher veröffentlichen drei weitere Spectre-NG-Sicherheitslücken… Zu den drei Varianten von L1 Terminal Fault (L1TF) hat Intel den Security Alert INTEL-SA-00161 veröffentlicht. Das Risiko wird als ‘hoch’ eingestuft.”
    https://www.heise.de/security/meldung/Spectre-NG-Foreshadow-gefaehrdet-Intel-Prozessoren-4137209.html

    https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00161.html

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.