Intel Microcode Boot Loader: Spectre-Schutz auf USB

Von Intel gibt es einen Microcode Boot Loader, der einen bootfähigen USB-Stick  erstellt. Dieser wendet automatisch die neuesten Intel-Mikrocodes auf der identifizierten CPU an. So soll das System vor Spectre geschützt werden.


Anzeige

Ich bin vor einigen Tagen bei Bleeping-Computer in diesem Artikel auf den entsprechenden Hinweis gestoßen. Spectre ist eine Technik für Seitenkanalangriffe, mit der man über die CPUs von Intel, AMD etc. Daten abfischen können soll. Intel hat aktualisierte Mikrocodes veröffentlicht, die Intel-CPUs patchen.

Microcode-Update da, wie anwenden?

Diese müssten aber über UEFI-/BIOS-Updates installiert werden. Hier patzen aber die Board-Hersteller. Ein anderer Ansatz besteht darin, die Microcode-Updates beim Booten des Betriebssystems zu laden. Für Benutzer von Windows 10 und Windows Server 2016 hat Microsoft diese aktualisierten Mikrocodes automatisch als Windows Update verteilt. Dort kommt genau dieser Ansatz zum Tragen.

Bleeping Computer schreibt, dass ältere Betriebssysteme und damit die CPUs, die sie ausführen, nicht mit diesem Updates versorgt wurden. So ganz stimmt das in meinen Augen aber nicht – zumindest habe ich im Blog-Beitrag Patchday: Updates für Windows 7/8.1/Server 14. August 2018 Updates für Windows 7 SP1/Windows 8.1 und die Server Pendants diverse Updates mit Patches gegen Spectre-Varianten beschrieben. Allerdings werden nur bestimmte CPU-Typen unterstützt.

Der Intel Microcode Boot Loader soll es richten

Falls jemand bei abweichenden CPUs aber auf Nummero sicher gehen will: Da kommt der Intel Microcode Boot Loader von Eran “Regeneration” Badit ins Spiel. Das Tool verwendet die Intel BIOS Implementation Test Suite (BITS) und den Syslinux Bootloader, um automatisch die aktuellsten Mikrocodes für einen Intel-Prozessor zu erkennen und anzuwenden. Dazu bringt das Tool alle bekannten Microcode-Updates für diverse CPU-Modelle mit. Dies ermöglicht es, Computer mit alten Prozessoren vor Spectre-Angriffen zu schützen.

(Quelle: YouTube)

Das obige Video zeigt den Einsatz. Mit dem Tool muss ein USB-Stick erstellt werden. Dieser wird bei jedem Rechnerstart gebootet und lädt die zur CPU passenden Microcode-Updates. Anschließend wird das eigentliche Betriebssystem gebootet, welches dann gegen Spectre geschützt ist. heise.de hat das Ganze vor einigen Tagen in diesem Artikel aufgegriffen. Dort finden sich einige Hinweise zur Vorgehensweise.

Meine zwei Cent

Der Ansatz klingt auf den ersten Blick wie der ‘Stein der Weisen’ – ein USB-Stick und schon ist man geschützt. Die Diskussion auf administrator.de zeigt sehr schön die Problematik auf. Es muss quasi ein USB-Medium immer beim Booten der Maschine mit geladen werden. Die Boot-Sequenz ist so umzustellen, dass das syslinux vom Stick booten kann, um die Mikrocode-Updates einzuspielen und das eigentliche Betriebssystem zu starten.


Werbung

Das eröffnet aber einen weiteren Angriffsvektor. Steckt ein Anwender versehentlich einen anderen USB-Stick an die Maschine, wird diese u.U. von diesem Medium booten. Ist der USB-Stick ‘mit einem Boot-Virus verseucht’, kommt eine Infektion zustande. Zugegeben: Etwas unwahrscheinlich, aber nie ausgeschlossen. Zudem ist es wohl so, dass wir bezüglich Meltdown und Spectre auf ‘hohem Niveau’ über theoretische Bedrohungsszenarien diskutieren, während die eigentlichen Angriffe über ‘typischerweise seit 100 Tagen ungepatchte Flash- und sonstigen Schwachstellen’ oder social Engineering erfolgen. Von daher tue ich mich schwer, das obige Konzept jetzt als ‘Stein der Weisen’ zu sehen. Oder was meint ihr zu diesem Thema?

Ähnliche Artikel:
Sieben neue Spectre-Lücken in CPUs
Windows 10 19H1: Spectre V2-Schutz per Retpoline
Foreshadow (L1TF), neue (Spectre-ähnliche) CPU-Schwachstellen
NetSpectre: Zugriff auf den Arbeitsspeicher per Netzwerk
Details zu CPU-Sicherheitslücken Spectre V1.1 und V1.2
HP: Infos zu Derivative Side-Channel-Angriffen (Spectre V4)
Google und Microsoft enthüllen Spectre V4 CPU-Schwachstelle


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Responses to Intel Microcode Boot Loader: Spectre-Schutz auf USB

  1. Sam sagt:

    Ich versteh diese Panik um Spectre eh nicht.
    Ja, diese Art CPU-Angriff ist ein Riesenproblem für Rechenzentren, wo sich mehrere Parteien einen Computer teilen. Wenn dort eine der Parteien den Rechner über solche Angriffe übernehmen kann, ist das ein echtes Problem.
    Aber welche Rechenzentren setzen denn bitte auf veraltete Betriebssysteme??
    Und für Privatanwender, ganz ehrlich, wenn die einfach alles starten, was sie so im Netz finden und runterladen, dann haben die noch ganz andere Probleme als Spectre.

  2. M sagt:

    “So ganz stimmt das in meinen Augen aber nicht – zumindest habe ich im Blog-Beitrag Patchday: Updates für Windows 7/8.1/Server 14. August 2018 Updates für Windows 7 SP1/Windows 8.1 und die Server Pendants diverse Updates mit Patches gegen Spectre-Varianten beschrieben. Allerdings werden nur bestimmte CPU-Typen unterstützt.”

    Der besorgte einfache User fragt sich: “Hmm, ich habe einen Haswell-Prozessor und Windows 8.1, und mein Laptop-Hersteller updatet mein BIOS nicht. Auf Seiten wie Notebookcheck wird von der Redaktion Panik geschoben, aufgrund der neuesten Spectre-Vulnerabilitäten solle man ganz schnell das BIOS updaten. Und angeblich habe Win 8 keine Updates von MS erhalten. Und in den Kommentaren bei Heise sagen die Leser, es sei alles nur Panikmache. Und bei Borncity wird fabuliert dass “etwas nicht so ganz stimme” (ja was denn nun..?) und so richtig klar ist einem nicht, was denn nun die sicherheitstechnischen Unterschiede sind zwischen dem dubiosen Bootloader (der auch von Partition laufen könne, übrigens), den nicht vorhandenen BIOS-Updates, und den MS-Updates für Windows 8.1 und 7 (und 7 hat ja egtl. Extended Support bis 2020) — und welche Prozessoren denn nun nicht erfasst sind, sofern das relevant ist (“nur bestimmte CPU-Typen” ist ja auch keine hilfreiche Angabe von Borncity, zumal ein Klick auf die Links zu den MS-Seiten diese Prozessoren auch nicht unmittelbar offenbart, ich hab sie nicht gefunden”). Es wurde so viel Panik verbreitet, vor Monaten schon bei der Tagesschau die Republik aufgescheucht, jetzt sei alles noch viel schlimmer mit neuen Lücken und plötzlich heißt es mancherorts (dennoch), nur irgendwelche Corporate-Szenarien seien betroffen (sofern man aktuelle Software/Browser benutzt) und es ist von Aluhüten die Rede (in den Heise-Kommentaren) – dass es schon fast so klingt, als brauche man gar nix, weder eine aktuelle CPU noch den MS Fix noch einen BIOS fix. Nur aktuelles OS und Browser sei hinreichend. Jedenfalls fühlt man sich als Laie völlig überfordert und verwirrt. Es macht keinen Spaß, Sicherheitswarnungen auf Computer-Webseiten/Blogs zu lesen, wenn man ständig Zweifel hat, welche Relevanz diese denn nun überhaupt haben, und wenn selbst Redakteure (notebookcheck…) ggf. inadäquate oder unvollständige Ratschläge geben. Bitte mehr Klarheit, klarerer Aussagen, praktische Anweisungen und Einschätzungen, realistische Einschätzungen….

    Im Übrigen ist Borncity von allen immer noch ein Licht in der Dunkelheit. Natürlich.

    • Günter Born sagt:

      Nun ja, als privater Nutzer würde ich sagen ‘hinsetzen und abwarten’. Es ist kein Angriff bekannt und ich denke, die Cyber-Kriminellen werden auf einfachere Angriffsszenarien setzen.

      Im Bereich virtuelle Server bei Hostern sieht das ggf. anders aus. Aber dort setzen die Leute häufig Linux als Host ein, wo dann Retpoline verwendet werden kann. Ist aber meine private Meinung – und nein, ich werde mir nicht die Arbeit machen, die von Intel mit Microcode-Updates unterstützten CPUs rauszusuchen.

      Der Grund: Die Halbwertszeit ist möglicherweise nur wenige Wochen, aber der Aufwand immens. Und Beiträge wie dieser hier interessieren die Masse der Blog-Leser schlicht nicht. Der aktuell Beitrag hat seit dem 17. Nov. 2018 nicht mal 1.500 Abrufe erreicht – das Interesse ist also verhalten.

      Und zum ‘unvollständige Ratschläge’: Natürlich wäre es wünschenswert, wenn jede Redaktion unendlich viel Zeit und Geld hätte, jedes Thema bis zum FF auszuwälzen. Aber: Es gibt aus meiner Sicht zwei Punkte, die ich mir als Leitlinien gesetzt habe.

      1. Ich muss am Ende des Tagen die Zeit, die ich in Blog-Beiträge stecke, auch finanzieren können. Aus monetärer Sicht hat mir der obige Beitrag vielleicht 5-10 Euro eingespült. Mit spitzem Bleistift hätte ich den Beitrag eigentlich nicht machen dürfen – der Beitrag ist im Wissen entstanden ‘zeige, dass es da was gibt, hilft vielleicht’. Da noch Stunden in weitere Recherche investieren, ist wenig sinnvoll.

      2. Wichtig ist die Information ‘da ist dies und jenes’ – dann kann der interessierte Leser weiter graben und sich in den Originalquellen kundig machen.

      Zu 2: Bin da vielleicht zu stark durch meinen früheren Job in der Großchemie geprägt. Bei den großen Unfällen als Folge von Vorkommnissen wie Bhopal, Seveso, BASF etc. war es wichtig, dass die Information ‘es ist da was passiert’ kam. Dann musste man selbst analysieren und bewerten ‘ist das für deinen Job in der Mess-, Steuerungs- und Regelungstechnik relevant’ und ggf. selbst weiter recherchieren.

      Ich hoffe, das ist nachvollziehbar.

      • M sagt:

        Wow, danke für die sehr nachvollziehbare und auch hilfreiche Antwort.

        Schade, dass der Artikel so wenige Klicks hat, er ist einer besten zum Thema.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.