CPU-Sicherheitslücke «Spectre» und «Meltdown» – ein Prüfstein für Jeden in Sachen Sicherheit
Seit 2015 arbeite ich wieder als System Engineer für die Leuchter IT Solutions AG. Bereits von 2008 bis 2013 war ich für Leuchter tätig. Meine Kompetenzen liegen im Bereich Netzwerk und IT Security. In meiner Freizeit bin ich leidenschaftlicher Gleitschirmpilot, bin im Sommer gelegentlich auf dem Motorrad anzutreffen, seltener mal auch in einem Dojo auf der Matte.
Anfang Januar haben Hersteller die Sicherheitslücken in CPU-Prozessoren mit den Namen «Meltdown» und «Spectre» bestätigt, bei denen alle Gerätetypen (PCs, Tablets und Smartphones) betroffen sind. Diese entwickeln sich immer mehr zu einem Prüfstein in Sachen IT-Sicherheit. Wir versuchen in diesem Blog sachlich zu informieren ohne dass wir aber abschliessend entwarnen können.
Um was geht’s bei der CPU-Sicherheitslücke?
Moderne Prozessoren sind sehr leistungsstark, was nicht zuletzt auf ihrer Fähigkeit beruht, Programm-Code «out-of-order» auszuführen. Besonders im Fokus steht hier die sogenannte «speculative-execution». Dies bedeutet, sie führen erst später benötigten Programm-Code schon mal vorab aus, wenn es als wahrscheinlich erscheint, dass jener Code auch abgearbeitet werden soll.
Die dabei entstehenden Daten sind aber potenziell ungültig, da sich der Prozessor in Bezug auf den wahrscheinlichen Programmfluss auch «verspekulieren» kann. Daher dürfen die Daten nicht zurück in den Arbeitsspeicher geschrieben werden, sondern werden in Zwischenspeichern (CPU-Caches) solange konserviert, bis die Daten als «gültig» betrachtet werden können. Wie kürzlich bekannt wurde, existieren Schwachstellen in der CPU-Architektur. Die auf die Namen «Spectre» und «Meltdown» getauften Lücken erlauben es Angreifern auf jene Zwischenspeicher und damit potenziell sensitive Daten zuzugreifen.
Gefahrenpotential, was bedeutet das?
Im Unterschied zu gewöhnlichen Sicherheitslücken in Software handelt es sich bei den aktuellen Vorfällen um Schwachstellen in der CPU-Architektur selbst, sprich, sie sind zumindest teilweise in Hardware gegossen. Updates für die eingesetzten Betriebssysteme (Windows, Linux und MacOS, Android) können das Gefahrenpotential zwar eindämmen. Eine abschliessende Bereinigung kann aber frühestens mit Anpassungen am Micro-Code der Prozessoren, also mit Firmware-Updates oder durch Hardwareersatz, erfolgen.
Diese Prozesse laufen, wenn überhaupt, nicht automatisiert und in tiefer Kadenz ab. Die grosse Mehrheit der Anwender spielt über die gesamte Lebenszeit eines Geräts üblicherweise nie Firmware-Update ein. Entsprechend langlebig dürften die Lücken sein und noch Monate, wenn nicht Jahre Angriffsfläche und Ansporn zur Ausnutzung bieten. Weiter verschärft wird diese Problematik dadurch, dass mittlerweile äusserst detaillierte, technische Dokumentation zum Vorfall vorliegen. Also schon fast eine Einladung an potentielle Hacker herauszufinden, wer noch keine Massnahmen getroffen hat.
Bin ich betroffen?
Die ernüchternde Antwort ist: Eine detaillierte Analyse macht wenig Sinn. Für Intel-Prozessoren bestehen aktuell drei Angriffskonzepte. Die Prozessoren von AMD und ARM sind «nur» gegen zwei anfällig. Da sich die Hersteller ein Oligopol teilen und es sich um architektonische Schwachstellen aus 20 Jahren CPU-Entwicklung handelt, kann salopp gesagt werden: Ja, mit grösster Wahrscheinlichkeit bin ich betroffen. Dies bezieht sich nicht nur auf Server und Unternehmenscomputer, sondern auch auf private Notebooks, Tablets und vor allem auch Smartphones. In nächster Zeit werden wir also von den obigen Martkführern entsprechend Pflaster erhalten.
Nicht genug aber das die CPU davon betroffen sind, es zeigt sich, dass zum Beispiel auch Grafikkarten mit ähnlicher Logik arbeiten und zusätzlich betroffen sind. Beispielsweise hat sich Grafikkarten Marktführer Nvidia dazu entschieden ein Advisory/Patch für die verbauten GPUs (Graphical Processing Units) zu liefern. Aber auch weitere Hersteller aus anderen Sparten wie Firewall-Hersteller, Netzwerk-Ausrüster etc. dürften folgen. «Meltdown» und «Spectre» werden uns also noch lange beschäftigen. Wichtig dabei ist, wie schon oben erwähnt, es es keine automatischen Updateprozesse gibt. Die Updates müssen durch User/Admins bewusst durchgeführt werden.
Wie kann ich mich schützen?
Um sich effektiv schützen zu können, müssen die Design-Fehler in der Hardware bereinigt werden. Es darf nicht mehr möglich sein auf die Zwischenspeicher der CPU zu zugreifen. Dazu muss der Micro-Code, sprich die Programmierung der Hardware, angepasst werden. Intel wie auch AMD werden in diesen Tagen Firmware-Updates bereitstellen. Hier sollten die jeweiligen Hersteller-Seiten der betroffenen Geräte geprüft werden. Zu beachten ist, dass Produkte ausserhalb des Supportzeitraums mit hoher Wahrscheinlichkeit nicht oder nur verzögert und eingeschränkt aktualisiert werden.
Nebst Firmware-Updates sollten als flankierende Massnahme auch die eingesetzten Betriebssysteme gepatcht werden. Diese können durch Anpassung OS-Kernels dann beim Ausführen von Programmcode auf einen sicheren Umgang mit Cachedaten überprüft werden.
In der Cloud alles sicher?
Leider nein, auch hier sind dieselben Prozessoren verbaut. Aber Ihr Cloudanbieter muss die entsprechenden Patches vornehmen. Natürlich können Sie auch hier nicht die ganze Verantwortung abschieben. Der Cloudanbieter wird dies Server-, Storage-, Firewall-, und Netzwerkseitig machen. Für Ihre Endgeräte – und denken Sie daran – bis hin zum Smartphone, sind Sie verantwortlich.
Was ist zu beachten?
Aktuell gibt es drei wichtige Gesichtspunkte, welche vor einem Update geprüft werden sollten.
Erstens handelt es sich bei den Betriebssystem-Updates um Änderungen am OS-Kernel, genauer gesagt um Änderungen am Speicherschutz. Diese haben, nach ersten Erfahrungen, zu Inkompatibilität mit einigen Virenscannern geführt. Zumindest Microsoft hat darauf clever reagiert und das Update erst nach «Einverständnis» des jeweilig installierten Virenscanner, zur Installation freigegeben. Trotzdem empfiehlt es sich, den eingesetzten Virenscanner vorab auf den neusten Stand zu bringen und den jeweiligen Hersteller zu konsultieren.
Zweitens scheinen die Anpassungen an den Betriebssystemen teilweise negative Auswirkungen auf die Performance zu haben. In den meisten Fällen zeigten sich die Auswirkungen bis jetzt vernachlässigbar gering. Aber selbst Microsoft spricht davon, dass es ja nach Konstellation OS, Applikation und Prozessor, also je nach Anwendungsfall erhebliche Auswirkungen auf die Systemleistung geben kann. Dies darum, weil nun beispielsweise der Zwischenspeicher (CPU-Cache) nach jedem System-Call (z. B. IO-Zugriff auf die Festplatte, Netzwerkzugriff etc.) geleert wird. Als Beispiel wird dies bei Hochleistungs-Datenbankservern oder CAD-Geräten mit leistungsstarker Grafikkarte zu wirklich spürbaren Leistungseinbussen führen.
Abschliessend sollte noch folgendes erwähnt werden: Die ganze Angelegenheit wird mit einer gewissen Eile angegangen. Gut möglich, dass wir es mit einem Eisberg zu tun haben und erst einen kleinen Teil der Auswirkungen sehen sowie die aktuellen Patches noch nicht alle Szenarien abdecken.
Im Moment wird sehr hektisch reagiert, daher besteht auch noch die Chance, dass mit etwas mehr Entwicklungszeit noch Patches mit höhere Qualität folgen, z. B. hinsichtlich Performance.
Man sollte dranbleiben!
Für Sie als Sicherheitsbeauftragter, Sys Admin oder auch als User heisst dies, das Thema «Spectre» und «Meltdown» auch mittelfristig präsent zu halten, sich fortlaufend zu informieren und den Patchfortschritt der Devices, Systeme und Software lückenlos und kontinuerlich umzusetzen.
Quellennachweis und Links: