Nachdem zum Jahreswechsel zwei große Sicherheitslücken die IT-Welt in Aufruhr versetzt haben, gibt es nun ein klareres Bild, was passiert ist, wer betroffen ist und was man tun kann, um sich zu schützen. Die wichtigste Info aber direkt vorab: Jetzt Updates für das Betriebssystem und den Webbrowser einspielen!
Was ist passiert?
Zum Jahreswechsel 2017/2018 sind zwei große Sicherheitslücken in CPUs aufgedeckt worden:
- Die eine Lücke (Meltdown) ist vor allem für Serverbetreiber schlimm, weil sie die Systeme aktuell sehr unsicher und nach den Sicherheitsupdates deutlich langsamer macht.
- Die zweite Lücke (Spectre) ist vor allem für Privatanwender schlimm, weil bereits durch das Aufrufen einer manipulierten Webseite alle Daten des Webbrowsers ausgelesen werden könnten.
Bereits im Juni 2017 wurde eine erste Schwachstelle in Intel CPUs entdeckt. Im Verlauf der nachfolgenden Monate entwickelten Sicherheitsforscher aus dieser Schwachstelle dann zwei konkrete Wege, um sich damit Zugriff auf eigentlich geschützte Speicherbereiche eines betroffenen Geräts zu verschaffen. Diese Sicherheitslücken wurde aber durch Geheimhaltungserklärungen lange unter Verschluss gehalten, damit die betroffenen Hersteller Zeit gewinnen sollten, eine Lösung zu erstellen, was zunächts auch gelang. Zu Weihnachten 2017 erregten dann kurzfristige Arbeiten am Linux-Kernel Aufsehen in der IT-Welt, da solche Arbeiten normalerweise mehrere Monate und nicht nur wenige Tage dauern. Es begannen öffentlichen Spekulation über eine neue, sehr schwere Sicherheitslücke. Durch einen Vortrag auf dem 34C3-Treffen des Chaos Computer Clubs erlangte das Problem zusätzliche Bekanntheit. Anfang 2018 begannen dann die großen Hersteller (Intel, AMD, ARM, Microsoft, Apple, Linux, Google, Amazon), mit öffentlichen Erklärungen etwas Licht ins Dunkel zu bringen.
Wer ist betroffen?
Wahrscheinlich so gut wie jeder. Alle Computer, Smartphones, Server, Firewalls etc.
Alle Geräte mit Intel, AMD und ARM Prozessoren sind betroffen, das sind so gut wie alle IT-Geräte weltweit und zeigt die beispiellose Tragweite der Lücke.
Dabei muss man aber zwischen den verschiedenen Angriffsmöglichkeiten unterscheiden, so sind z. B. Prozessoren von AMD weit weniger betroffen, da sie an dieser Stelle ein besseres Prozessor-Design verwenden und sich das Problem mit Software-Updates ohne Performance-Einbußen recht einfach beheben lässt.
Angriffsmöglichkeit 1: Meltdown
Die „Meltdown“ getaufte Sicherheitslücke „rogue data cache load (CVE-2017-5754)“ lässt sich durch das Ausführen von Programmen auf einem Computer ausnutzen. Ein Möglicher Angriffsvektor ist also das Ausführen neu heruntergeladener, schadhafter Programme. Gerade auf Virtuellen Maschinen ist das ein Problem, da hier evtl. Kunden aus einer Virtuellen Maschine den Speicher von anderen Virtuellen Maschinen auslesen könnten.
Schutz gegen diese Angriffsmöglichkeit bietet ein Update des Betriebssystems. Nötig ist dies allerdings nur für Geräte mit Intel und ARM Prozessoren. AMD Prozessoren sind nicht anfällig gegen diesen Angriff.
Apple: Updates liegen bereits seit Anfang Dezember 2017 vor
Betroffen sind alls Macs mit Intel Prozessor (iMac, MacBook, MacBook Pro und MacPro) und mit ARM-Prozessor (iPhone, iPad und AppleTV). Nicht betroffen ist die AppleWatch.
Schutz gegen die Angriffe bieten die von Apple bereits ohne großes Aufsehen Anfang Dezember (!) veröffentlichte Updates auf iOS 11.2, macOS 10.13.2, and tvOS 11.2. Mehr dazu unter https://support.apple.com/en-us/HT208394
Auch ältere Systeme mit macOS 10.11.6 und 10.12.6 sind durch das Sicherheitsupdate 2017-002 Sierra und Sicherheitsupdate 2017-005 El Capitan geschützt. Mehr dazu unter https://support.apple.com/en-au/HT208331
Windows (Client): Updates liegen seit 4./5. Januar 2018 vor
Betroffen sind alle PCs mit Intel Prozessor.
Schutz bieten die nun veröffentlichten Sicherheitsupdates für Windows 10, 8.1 und 7.
Allerdings kann es sein, das die Sicherheitsupdates nicht angezeigt und installiert werden können, wenn eine Antivirus-Software installiert ist, die die Fehlerbehebung blockiert.
In diese Fall muss zuvor noch auf eine Aktualisierung durch den Antiviren-Software-Anbieter gewartet werden.
Außerdem kann es nötig sein, je nach Hardware-Hersteller, zusätzlich ein Firmware-Update für das Gerät einzuspielen.
Windows (Server): Updates liegen seit 4./5. Januar 2018 vor
Für die Windows Server 2008 R2, 2012 R2 und 2016 gibt es Updates.
Allerdings werden diese aufgrund der zu erwartenden Performance-Einbußen nicht automatisch installiert und müssen von Admins explizit freigeschaltet werden. Mehr dazu hier: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution
Außerdem kann es nötig sein, je nach Hardware-Hersteller, zusätzlich ein Firmware-Update für das Gerät einzuspielen.
Linux: Updates liegen seit 2. Januar 2018 vor
Vorsicht bei dem Einspielen der Updates auf Computern mit Intel CPUs. Hier ist mit Performance-Einbußen zu rechnen.
Computer mit AMD-CPUs werden von dem Update explizit ausgeschlossen und sind nicht betroffen.
Android: Viel Glück.
Hier macht jeder Hersteller, was er meint. Manche brauchen Montate für ein Update. Manche geben erst gar kein Update heraus, gerade für Geräte älter als 24 Monate.
Lediglich Besitzer von Geräten mit einem „nativen Android“-System (z. B. Google Pixel) haben Glück. Diese sind lt. Google bereits durch die aktuell verfügbaren Updates geschützt.
Angriffsmöglichkeit 2: Spectre
Die „Spectre“ getauften Sicherheitslücken „branch target injection (CVE-2017-5715)“ und „bounds check bypass (CVE-2017-5753)“ sind nicht ganz so schlimm wie Meltdown, dafür aber wesentlich einfacher und auch aus der Ferne auszuführen. Die Lücke nutzt die Möglichkeit, durch das Ausführen von zusätzlichem Code innerhalb eines Programmes den gesamten vom Programm genutzte Speicherinhalt auszulesen. Mögliche Angriffsvektoren sind z. B. vor allem JavaScripts, die innerhalb eines Webbrowsers ausgeführt werden.
Abhilfe schafft hier ein Update des Webbrowsers, der diese Art des Angriffs zukünftig verhindert.
Chrome: geschützt ab Version 64, geplant für 23.01.2018
Firefox: geschützt ab Version 57.0.4, veröffentlicht am 05.01.2018
Safari: Update geplant für KW2 2018
Opera: bisher keine Auskunft
Edge / Internet Explorer 11: Updates liegen seit 5. Januar 2018 vor
Werden die Computer durch die Lösung des Problems langsamer?
Das Problem bei der Schwachstelle ist, der Fehler liegt im grundlegenden Design der Hardware. Es gibt eine Software-Lösung für das Problem, aber durch die zusätzlichen Prüfungen in der Software zum Schutz vor dem Fehlverhalten der CPUs, wird die Rechenleistung verringert – sprich: der Computer wird langsamer.
Laut ersten Messungen ist mit 5 bis 35% Performance-Einbußen zu rechnen, abhängig von der Nutzungsart. So werden Privatanwender wahrscheinlich kaum Verlangsamungen spüren. Server-Betreiber, insbesondere mit virtualisierten Lösungen und Cloud-Dienstleister wie Amazon oder Google, werden unter Umständer sehr starke Performance-Einbußen verspüren.
Wo ist eigentlich genau das Problem?
Der Sicherheitsforscher Michael Schwarz zeigt hier eine ganze einfache Anwendungung für das Ausnutzen der Sicherheitslücke „Meltdown“, mit der er ein eingegebenes Passwort an zweiter Stelle in Echtzeit ausliest.
Das Problem ist ein, wie sich jetzt herausstellt, Design-Fehler in den CPUs. Um Anfragen schneller zu verarbeiten, nutzen CPUs Leerlaufzeiten, um die nächsten Anfragen vorab zu erraten. Wurde eine Anfrage richtig erraten, so kann diese dann sehr schnell ausgeführt werden. Wurde eine Anfrage nicht richtig erraten, ist auch keine Zeit verloren und das geschätzte Ergebnis wird einfach wieder verworfen. Diese Funktion zur beschleunigten Bearbeitung von Anfragen nennt sich „speculative execution“.
Sie ist aber gegen sogenannte „Side-Channel“-Angriffe anfällig und lässt sich z. B. mittels Timing-Angriff ausspionieren, wie sich nun herausgestellt hat.
Kann mal jemand das Problem so erklären, dass ich es auch verstehe?
Ja, hier ein Beispiel (Quelle):
In einer Bücherei gibt es ein Regal mit lauter Büchern, die jeweils nur einen einzigen Buchstaben enthalten.
Am Eingang der Bücherei sitzt eine Bibliothekarin, die eine Liste mit Büchern hat, die du ausleihen darfst.
Du gehst zu der Bibliothekarin und sagst, dass du Buch #100 ausleihen möchtest.
Die Bibliothekarin muss nun erst mal nachsehen, ob du überhaupt berechtigt bist, Buch #100 auszuleihen.
Während die Bibliothekarin in ihrem System noch prüft, ob du berechtigt bist, sagst du aber schon: „Ach, vergessen Sie’s. Ich würde doch gern ein anderes Buch ausleihen, und zwar …
Wenn in Buch #100 der Buchstabe „A“ steht, dann hätte ich gern Buch #200.
Wenn in Buch #100 der Buchstabe „B“ steht, dann hätte ich gern Buch #201.
Wenn in Buch #100 der Buchstabe „B“ steht, dann hätte ich gern Buch #202 …“ usw.
Während die Bibliothekarin immer noch auf das Ergebnis der ursprünglichen Sicherheitsüberprüfung von ihrem System wartet, ob du Buch #100 überhaupt ausleihen darfst und sie gerade nichts bessers zu tun hat, schaut sie schon mal in Buch #100 und sieht, da steht der Buchstabe „B“ drin. Darum geht sie nun und holt wie gewünscht schon mal Buch #201 aus dem Regal – gibt es dir aber nicht, sondern legt es erst mal auf Ihrem Tresen bereit. Vielleicht hat sie ja Glück und du darfst Buch #100 ausleihen, dann hätte sie das richtige Buch #201 direkt parat, um es dir zu geben und sie hätte sich (und dir) viel Zeit gespart.
Wieder zurück am Tresen sieht sie nun, das inzwischen die ursprüngliche Sicherheitsanfrage beantwortet ist und sie sagt: „Sorry, Buch #100 darfst du ja gar nicht ausleihen“ und gibt dir deswegen Buch #201 auch nicht vom Tresen.
Jetzt sagst du zu der Bibliothekarin, dass du weitere Bücher ausleihen möchtest, nämlich der Reihe nach #200, #201, #202 usw. Die Bücher der 200er Reihe darfst du ausleihen. Das weißt du.
Für Buch #200 dauert das Ausleihen einige Minuten, weil die Bibliothekarin es erst aus dem Regal holen muss.
Für Buch #201 dauert das Ausleihen nur ganz kurz, es lag ja von eben noch auf dem Tresen bereit.
Für Buch #202 und alle weiteren dauert das Ausleihen wieder einige Minuten, auch sie müssen erst wieder aus dem Regal geholt werden.
Jetzt weißt du also, dass in Buch #100 wahrscheinlich der Buchstabe „B“ drin stand, da Buch #201 so schnell auszuleihen ging.
Und hier ist der Fehler passiert: Die Bibliothekarin hätte das Buch #201 nicht schon mal holen dürfen, nachdem du ja eigentlich auf Buch #100 gar nicht zugreifen darfst und somit auch nicht wissen dürftest, welcher Buchstabe in Buch #100 steht. Besser wäre gewesen, Sie hätte Buch #201 erst mal wieder zurück ins Regal gestellt, damit du bei der zweiten Anfrage zum Ausleihen keinen Zeitunterschied zwischen den einzelnen Büchern messen kannst.
An dem Verhalten der Bibliothekarin lässt sich leider nachträglich nichts ändern. Aber was die Betriebssystem- und Browser-Hersteller jetzt machen ist, dass du z. B. nur noch eine sehr ungenaue Stoppuhr mit in die Bibliothek mitnehmen darfst. Wenn die nur auf 5 Minuten genau misst (um bei unserem Beispiel oben zu bleiben), dann kannst du damit den Zeitunterschied beim Ausleihen zwischen Büchern vom Tresen zu Büchern aus dem Regal nicht mehr messen. Das und noch einige andere Mechanismen verbessern nun also die aktuellen Betriebssystem- und Browser-Updates.
Analogien:
Die Bibliothekarin ist der Prozessor (CPU) im Computer.
Das Regal in der Bibliothek ist der Arbeitsspeicher (RAM) im Computer.
Die Liste mit Berechtigungen der Bibliothekarin schützt eigentlich davor, dass ein Programm nicht den Inhalt von einem anderen Programm auslesen kann.
Die Bücher in den Regalen sind der Inhalt des Arbeitsspeichers von allen Programmen.
Der Tresen bei der Bibliothekarin ist der Cache im Prozessor.
Dass die Bibliothekarin einfach schon mal auf gut Glück ein Buch zu sich auf den Tresen holt, während noch eine Prüfung läuft, ist die verwundbare Stelle, die „speculative execution“ des Prozessors.
Das Messen der unterschiedlichen Zeiten nach dieser Methode ist eine sogenannte „Timing-Attacke“ aus der Kategorie der „Side-Channel“-Atacken, mit der die Lücke ausgenutzt werden kann, um an eigentlich nicht erlaubte Inhalte im Arbeitsspeicher zu gelangen.
Fazit
Bei der Entwicklung von CPUs stellen sich immer wieder nachträgliche Fehler heraus. Meist bekommt man davon als Normalbürger nichts mit, aber das passiert weit häufiger, als man denkt.
Das Problem ist, dass Intel sich selten um die nachträglich Behebung der Probleme kümmert und eher auf die Anschaffung neu entwickelte CPUs verweist. Auch wurde bei Intel Ende 2013 wohl in einem internen Meeting die Marschrichtung ausgerufen, die Qualitätsprüfung „zu beschleunigen“, um mit der Konkurrenz Schritt halten zu können. Nach diesem Meeting sind dann wohl einige der guten Leute in der Qualitätsprüfung gegangen. Und heute sehen wir wahrscheinlich das Ergebnis davon. (Quelle)
Auch nicht gut sieht es aus, dass der CEO von Intel Ende November alle seine Intel Aktien verkauft hat, die er zu diesem Zeitpunkt verkaufen durfte, und das, obwohl Intel seit Juni 2017 von dem großen Problem in seinen CPUs wusste und die Veröffentlichung der Lücke bevor stand. (Quelle)
Inzwischen sind so viele schwere Sicherheitslücken in allen Geräten bekannt, wer sein System nicht regelmäßig aktualisiert und Updates einspielt, ist stark verwundbar. Noch herrst bei vielen Menschen aber eine Abneigung gegen das regelmäßige Einspielen von Updates. Das macht es für Angreifer im Moment recht einfach.
Die Frage ist natürlich auch, wie realistisch ist ein Angriff auf das eigene Gerät und was gäbe es überhaupt zu verlieren? Ich für meinen Teil, möchte mir diese Fragen aber erst gar nicht beantworten müssen. Ich bemühe mich, die IT-Sicherheit zu verstehen und auf aktuelle Ereignisse zeitnah zu reagieren – für mich und für meine Kunden.
Haben Sie Fragen zum Thema IT-Sicherheit? Wir unterstützen Sie gern. Sprechen Sie uns an!