DE | Deutsch

Neue CPU Schwachstellen bekannt: Spectre Next Generation

Von Patrick Pötz | 22.05.2018

 

Die Sicherheitslücken Meltdown und Spectre, die Anfang des Jahres veröffentlicht wurden, hielten die ganze IT-Welt auf Trapp. „Panik", "Chaos" und "Patches“ waren Schlagwörter, die in den ersten Monaten des Jahres 2018 die Überschriften bekannter IT-Magazine und anderer Medien beherrschten.

Nach dem ständigen Hin und Her: keine Patches verfügbar, Patches installieren, Patches zurückziehen, etc., sind mittlerweile Updates für alle gängigen Betriebssysteme, Browser und Prozessoren vorhanden. Außerdem ist es inzwischen auch möglich, Patches, die Microcode-Updates gegen Meltdown und Spectre enthalten, über Betriebssystem-Updates zu installieren. Ein aufwendigeres Patchen über das Einspielen von BIOS-Updates, ist somit nicht mehr unbedingt notwendig.

 

Was sind Meltdown & Spectre?

Zusammengefasst handelt es sich bei Meltdown und Spectre um Sicherheitslücken in modernen Prozessoren von beispielsweise Intel, AMD, ARM und IBM. Prinzipiell geht es bei beiden Schwachstellen darum, über sogenannte Seitenkanalangriffe (Side-Channel-Attacks) Informationen aus Speicherbereichen zu lesen, die einem Benutzer unter normalen Voraussetzungen nicht zugänglich sind. Diese ausgelesenen Informationen können sensible Daten wie Passwörter, persönliche Fotos und E-Mails enthalten. Die Veröffentlichung dieser Schwachstellen führte dazu, dass sich immer mehr Sicherheitsexperten mit diesem Thema beschäftigen. Die weitere Forschung in diesem Bereich bringt nun weitere, bisher unbekannte, Sicherheitslücken ans Tageslicht.
 

Was verbirgt sich nun hinter Spectre NG?

Anfang Mai wurde vom Branchdienst Heise berichtet, dass zumindest noch weitere acht Schwachstellen in modernen Prozessoren gefunden wurden. Da diese ähnlich zu Meltdown und Spectre sind, wurden sie Spectre Next Generation (NG) getauft. Am 21. Mai wurden nun weitere Informationen zu zwei der acht bereits identifizierten Schwachstellen bekannt. Offiziell sind beide Schwachstellen als Spectre V3a und Spectre V4 bekannt.

 

Spectre V3a (Rogue System Register Read, CVE-2018-3640, CVSS31 Rating: 4.3)

 

Diese Schwachstelle wurde von ARM gemeldet und ist laut einer Einschätzung von Intel nur schwer ausnutzbar. Bisher ist lediglich bekannt,  dass neuere Microcode Updates auch Funktionen enthalten werden, um diese Schwachstelle zu beheben oder zumindest abzuschwächen.

 

Spectre V4 (Speculative Store Bypass, CVE-2018-3639, CVSS3 Rating: 4.3)

 

Diese Schwachstelle wurde von mehreren Forschern gemeldet, unter anderem von Google Project Zero und Microsoft. Hier handelt es sich, ähnlich wie bei Spectre Variante 1, um einen Seitenkanalangriff. RedHat beschreibt, dass das Nutzen dieser Lücke einen unprivilegierten Benutzer dazu befähigt, Speicherbereiche auszulesen, die ihm über einen regulären Weg nicht zugänglich sind.

 

Patches

Laut Intel sind wesentliche Schutzmaßnahmen gegen Spectre V4 bereits umgesetzt, zum Beispiel Änderungen in JavaScript-Timer-Funktionen oder Browser Site-Isolation. Damit die Schwachstellen jedoch gemildert werden können, wird es weitere Microcode- und Betriebssystem-Patches geben. Microcode-Updates, die sich im Beta-Status befinden, wurden bereits an OEM- und Betriebssystemhersteller verteilt.

 

Des Weiteren sollen diese neuen Schutzfunktionen per Default ausgeschaltet sein, damit die Kunden selbst entscheiden können, ob Sie diese aktivieren oder nicht. In deaktiviertem Zustand soll es zu keinen Prozessor-Performance-Einbußen kommen. Wenn diese jedoch aktiviert werden, soll die Prozessor-Performance, laut einem SYSmark 2014SE Benchmark, zwischen zwei und acht Prozent niedriger sein.

 

Zusätzlich enthalten die neuen Updates auch Microcode, welcher Variante 3a abmildern soll. Diese Änderungen führen laut Intel zu keinen nennenswerten Performance-Einbußen. Bis jetzt ist jedoch noch nicht bekannt, wann Patches für welche Systeme erscheinen. Es wird vermutet, dass eine erste Welle an Updates noch im Mai verfügbar sein wird. Die zweite Update-Welle wird dann für August erwartet.


Risiko

Derzeit sind noch keine konkreten Angriffe bekannt, die eine der bereits bekannten Schwachstellen nutzt. Laut einer ersten Einschätzung von Heise sind durch Spectre NG vor allem Server von Cloud-Anbietern betroffen, da diese nicht steuern können, welcher Code in den einzelnen virtuellen Maschinen ausgeführt wird. Bei typischen PCs, Notebooks etc. steigt das Gefährdungspotential kaum, da meistens auch noch andere Sicherheitslücken im Betriebssystem, Browser oder anderer Software versteckt sind, die wesentlich einfacher auszunutzen sind.

 

Prinzipiell gilt es, wie auch bei anderen bekannten Schwachstellen, folgende Punkte einzuhalten:

  • eingesetzte Software (Betriebssystem, Applikationen etc.) auf dem neuesten Stand halten
  • generelle Security Best Practices gegen Malware einhalten
  • Deaktivieren von nicht benötigten Diensten
  • Einsatz von Sicherheitslösungen wie Endpoint Protection Software, Firewalls, Intrusion Prevention Systeme und anderen