Sicherheitslücken in Prozessoren: Spectre und Meltdown

Aktuelle Prozessoren sind von Sicherheitslücken Spectre und Meltdown betroffen, welche einen weitreichenden Abfluss von Daten zur Folge haben könnte. Einige Hersteller haben schon reagiert und Patches zur Verfügung gestellt.

Dazu das Google Project Zero Team:

Wir haben herausgefunden, dass das CPU Data Cache Timing dazu missbraucht werden kann, Informationen aus falsch spezifizierter Ausführung effizient zu lecken, was zu (im schlimmsten Fall) willkürlichen Lese-Schwachstellen im virtuellen Speicher über lokale Sicherheitsgrenzen hinweg in verschiedenen Kontexten führt.

Varianten dieses Problems sind bekannt dafür, dass sie viele moderne Prozessoren betreffen, einschließlich bestimmter Prozessoren von Intel, AMD und ARM. Für einige wenige Intel und AMD CPU-Modelle haben wir Exploits, die gegen echte Software arbeiten. Wir haben dieses Problem Intel, AMD und ARM am 01.06.2017 gemeldet.

Bisher sind drei Varianten des Problems bekannt:

  • Variant 1: bounds check bypass (CVE-2017-5753)
  • Variant 2: branch target injection (CVE-2017-5715)
  • Variant 3: rogue data cache load (CVE-2017-5754)

Spectre Variante 1 und 2:

Durch diese Lücke, für die ein enormes Expertenwissen notwendig ist, können Programme andere Programme komplett sniffen und so zum Beispiel Passwörter abgreifen. Betroffen sind Intel, AMD und ARM.

spectre

Meltdown Variante 3:

Fast alle Intel Chips seit 1995 sind betroffen. Für den unerlaubten Speicherzugriff gibt es einen Patch, welcher jedoch die Performance negativ beeinflusst.

meltdown

Patches

Linux und Apple haben schon erste Patches verteilt. Auch Microsoft verteilt seit heute ein Update.
Google hat die eigene Cloud Infrastruktur schon gepatcht und der Android Sicherheitspatch 05.Januar 2018 patcht diese Lücken.

Q&A 

Bin ich von dem Fehler betroffen?
Ganz sicher, ja.

Kann ich feststellen, ob jemand Meltdown oder Spectre gegen mich ausgenutzt hat?
Wahrscheinlich nicht. Die Ausbeutung hinterlässt keine Spuren in traditionellen Logfiles.

Kann mein Antivirus diesen Angriff erkennen oder blockieren?
Das ist theoretisch möglich, in der Praxis aber unwahrscheinlich. Im Gegensatz zu gewöhnlicher Malware sind Meltdown und Spectre schwer von normalen gutartigen Anwendungen zu unterscheiden. Ihr Antivirusprogramm kann jedoch Malware erkennen, die die Angriffe nutzt, indem es Binärdateien vergleicht, nachdem sie bekannt geworden sind.

Was kann durchsickern?
Wenn Ihr System betroffen ist, kann unser Proof-of-Concept-Exploit den Speicherinhalt Ihres Computers auslesen. Dazu können Passwörter und sensible Daten gehören, die auf dem System gespeichert sind.

Wurde Meltdown oder Spectre in der Wildnis missbraucht?
Das wissen wir nicht.

Gibt es einen Workaround/Fix?
Es gibt Patches gegen Meltdown für Linux (KPTI (ehemals KAISER)), Windows und OS X. Es wird auch daran gearbeitet, Software gegen zukünftige Ausbeutung von Spectre abzusichern bzw. Software nach der Ausbeutung durch Spectre zu patchen.

Welche Systeme sind von Meltdown betroffen?
Desktop-, Laptop- und Cloud-Computer können von der Kernschmelze betroffen sein. Technisch gesehen ist jeder Intel-Prozessor, der eine Ausführung außerhalb der Ordnung implementiert, potentiell betroffen, was praktisch jeder Prozessor seit 1995 ist (außer Intel Itanium und Intel Atom vor 2013). Wir haben Meltdown erfolgreich auf Intel-Prozessorgenerationen getestet, die bereits im Jahr 2011 veröffentlicht wurden. Momentan haben wir nur Meltdown auf Intel-Prozessoren verifiziert. Derzeit ist unklar, ob auch ARM- und AMD-Prozessoren von Meltdown betroffen sind.

Welche Systeme sind von Spectre betroffen?
Fast jedes System ist von Spectre betroffen: Desktops, Laptops, Cloud Server sowie Smartphones. Genauer gesagt, alle modernen Prozessoren, die in der Lage sind, viele Instruktionen im Flug zu halten, sind potenziell anfällig. Insbesondere haben wir Spectre auf Intel, AMD und ARM Prozessoren verifiziert.

Welche Cloud-Provider sind von Meltdown betroffen?
Cloud-Provider, die Intel-CPUs und Xen PV als Virtualisierung nutzen, ohne dass Patches installiert werden müssen. Darüber hinaus sind Cloud-Provider ohne echte Hardware-Virtualisierung betroffen, die sich auf Container verlassen, die sich einen Kernel teilen, wie Docker, LXC oder OpenVZ.

Was ist der Unterschied zwischen Meltdown und Spectre?
Meltdown bricht den Mechanismus, der Anwendungen davon abhält, auf beliebigen Systemspeicher zuzugreifen. Somit können Anwendungen auf den Systemspeicher zugreifen. Spectre trickst andere Anwendungen dazu aus, auf beliebige Stellen in ihrem Speicher zuzugreifen. Beide Angriffe nutzen Seitenkanäle, um die Informationen aus dem Speicherplatz zu erhalten, auf den zugegriffen wird.

Warum heißt es Meltdown?
Der Bug schmilzt im Grunde genommen Sicherheitsgrenzen, die normalerweise von der Hardware erzwungen werden.

Warum heißt es Spectre?
Der Name basiert auf der Grundursache, der spekulativen Ausführung. Da es nicht einfach zu beheben ist, wird es uns noch eine ganze Weile verfolgen.

Gibt es weitere technische Informationen über Meltdown und Spectre?
Ja, es gibt eine akademische Arbeit und einen Blog-Post über Meltdown und eine akademische Arbeit über Spectre. Außerdem gibt es einen Google Project Zero Blog-Eintrag über beide Angriffe.

Was sind CVE-2017-5753 und CVE-2017-5715?
CVE-2017-5753 und CVE-2017-5715 sind die offiziellen Referenzen zu Spectre. CVE ist der Standard für die Namen von Sicherheitslücken in der Informationssicherheit, der von MITRE verwaltet wird.

Was ist das CVE-2017-5754?
CVE-2017-5754 ist die offizielle Referenz zu Meltdown. CVE ist der Standard für die Namen von Sicherheitslücken in der Informationssicherheit, der von MITRE verwaltet wird.

Wo finde ich offizielle Sicherheitshinweise von involvierten/betroffenen Unternehmen?

Link
Intel  Security Advisory    /     Newsroom    /     Whitepaper
ARM  Security Update
AMD  Security Information
RISC-V  Blog
NVIDIA  Security Bulletin   /    Product Security
Microsoft  Security Guidance    /     Information regarding anti-virus software    /     Azure Blog    /     Windows (Client)    /     Windows (Server)
Amazon  Security Bulletin
Google  Project Zero Blog    /     Need to know
Android  Security Bulletin
Apple  Apple Support
Lenovo  Security Advisory
IBM  Blog
Dell  Knowledge Base   /    Knowledge Base (Server)
HP  Vulnerability Alert
Huawei  Security Notice
Synology  Security Advisory
Cisco  Security Advisory
F5  Security Advisory
Mozilla  Security Blog
Red Hat  Vulnerability Response   /    Performance Impacts
Debian  Security Tracker
Ubuntu  Knowledge Base
SUSE  Vulnerability Response
Fedora  Kernel update
Qubes  Announcement
Fortinet  Advisory
NetApp  Advisory
LLVM  Spectre (Variant #2) Patch   /    Review __builtin_load_no_speculate   /    Review llvm.nospeculateload
CERT  Vulnerability Note
MITRE  CVE-2017-5715   /    CVE-2017-5753    /     CVE-2017-5754
VMWare  Security Advisory   /    Blog
Citrix  Security Bulletin   /    Security Bulletin (XenServer)
Xen  Security Advisory (XSA-254)   /    FAQ

Dieser Beitrag hat einen Kommentar

Schreibe einen Kommentar