Schutzschild gegen „Spectre“ und „Meltdown“
5. Januar 2018
Kürzlich wurde in sehr vielen Hauptprozessoren von unterschiedlichen Herstellern eine gravierende Sicherheitslücke entdeckt. Dabei handelt es sich zunächst um einen Fehler im Hardwaredesign aktueller und älterer Prozessorgenerationen. Besonders Intel scheint betroffen, aber auch CPUs anderer Hersteller lassen sich auf diese Weise kompromittieren. Der Angriff setzt auf eine Funktion, bei dem ungenutzte CPU-Ressourcen bestimmte Informationen in den CPU-Cache und das Register laden.
Auf diese Weise sollen Informationen, die vermutlich in den nächsten Rechenschritten benötigt werden, zeitnah bereitgestellt werden. Dies lässt sich allerdings geschickt ausnutzen, und den Inhalt des Caches auslesen, weiterleiten und verarbeiten. Prinzipiell würde dies noch kein Problem darstellen, allerdings lässt sich auf diese Weise eine grundliegende Sicherheitsfunktion außer Kraft setzten. Denn Anwendungen, die nur über Schreib- und Lesezugriff im „User-Modus“ verfügen, können so Daten „abgreifen“, die sich im (eigentlich) geschützen „Kernel-Modus“ befinden. Somit lassen sich beispielsweise aus virtuellen Maschinen oder Containern heraus Informationen von „fremden“ Instanzen (auf derselben Hardware) in Erfahrung bringen. Sogar Kennwörter, Detailinformationen, Dateien oder komplette Festplatteninhalte lassen sich (genügend Laufzeit und Bandbreite vorausgesetzt) in Erfahrung bringen.
Inzwischen versuchen die Chip-Hersteller das Problem in Zusammenarbeit mit den Betriebssystemherstellern zu lösen. Allerdings ist die angreifbare Funktion ein fester Bestandteil der jeweiligen Prozessorarchitektur, und somit bleibt nur ein „Software-Fix“ als Lösung übrig. Microsoft stellt für bestimmte Windows-Versionen nun ein entsprechendes Notfall-Update bereit. Dabei handelt es sich um ein Update für den Windows-Kernel, allerdings muss dieser Hotfix mit der jeweiligen Endpoint-Protection-Software zusammenspielen. Kommt das installierte Antivirenprogramm nicht mit diesem Update „klar“, wird der Patch nicht aufgespielt. Dies lässt sich allerdings relativ einfach über einen speziellen Registry-Key in Erfahrung bringen. Dazu navigieren die Systembetreuer in den folgenden Unterschlüssel:
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
QualityCompat
Hier sollte auf der rechten Seite folgender Schlüssel vorhanden sein:
Value Name="cadca5fe-87d3-4b96-b7fb-a231484277cc"
Type="REG_DWORD”
Data="0x00000000”
Ist der Eintrag vorhanden, hat der Antivirensoftware-Hersteller bereits reagiert, und der Patch kann aufgespielt werden. Für Windows-10-Versionen stehen die folgenden Hotfixes bereit:
- KB4056892 for Windows 10 1709
- KB4056891 for Windows 10 1703
- KB4056890 for Windows 10 1607
- KB4056888 for Windows 10 1511
- KB4056893 for Windows 10 RTM (für Long Term Servicing Branch)
Für Windows 8.1 und Windows 7 stehen ebenfalls entsprechende Patches bereit, allerdings nur über den WSUS-Kanal. Für die Endkunden wird das Update über den „normalen“ Windows-Update-Kanel in der nächsten Woche bereitgestellt.
Allerdings wird diese Lösung einen signifikanten Performance-Einbruch zur Folge haben, teilweise erleiden die Systeme bis zu 35 Prozent an Leistungsverlust. Zudem sollten die Administratoren Ausschau nach passenden Firmware-Updates halten, teilweise arbeiten die Chipsatzhersteller schon mit “Hochdruck“ an modifizierten Firmware-Versionen, um gegen die Sicherheitslücken vorzugehen.
Florian Huttenloher
