Kritische Prozessorlücken gefährden fast alle PCs und Smartphones

Mit Superlativen soll man bekanntermaßen lieber sparsam umgehen. Was nun aber Sicherheitsforscher aufgedeckt haben, hat sich das eine oder andere starke Wort aber redlich verdient: Unter den Namen „Meltdown“ und „Spectre“ wurde nun eine Reihe von grundlegenden Fehlern in aktuellen Prozessoren offengelegt, von denen praktisch alle aktuellen Computer sowie Smartphones betroffen sind.

Meltdown

Die größte aktuelle Bedrohung geht dabei von „Meltdown“ aus: Dabei handelt es sich um jene Fehler in Intel-Prozessoren, die bereits am Mittwoch vorab die Runde machten. Angreifer können auf diesem Weg grundlegende Speicherschutzmaßnahmen aushebeln, und erhalten so Zugriff auf den gesamten Speicher – und damit auch auf Bereiche, die normalen Usern eigentlich nicht zur Einsicht stehen sollten. Das bedeutet auch, dass sie problemlos sensible Daten wie Login-Keys, SSL-Schlüssel oder auch Passwörter auslesen können. Mit solchen Informationen könnte in weitere Folge dann ein System komplett übernommen werden.

Was „Meltdown“ besonders unerfreulich macht: Der Bug ist äußerst einfach – und zuverlässig – auszunutzen. So kursieren mittlerweile etwa bereits „Proof of Concept“-Exploits, die den Fehler über Javascript triggern. Besonders hoch ist die Gefahr dabei für Nutzer – und Betreiber – von Cloud-Services. So könnte ein Angreifer einfach eine Instanz auf Services wie Amazon AWS anmieten und dann massenweise Daten von anderen Nutzern auf dem gleichen System abgreifen, und dieses Spiel dann immer neu wiederholen.

Updates helfen

Aber es gibt auch erfreuliche Nachrichten: Einerseits betrifft „Meltdown“ nach aktuellem Wissensstand ausschließlich Systeme mit Intel-CPUs (hier dafür fast alle Prozessoren der letzten 20 Jahre), AMD- und ARM-Systeme sollen also nicht gefährdet sein. Vor allem aber lässt sich die Ausnutzung dieses Hardwarefehlers durch Softwaremaßnahmen unterbinden. Und hier haben die großen Betriebssystemhersteller in den letzten Monaten bereits hinter den Kulissen entsprechende Patches entwickelt. So wurde unter Linux mit Kernel 4.14.11 eine neue Sicherheitsmaßnahme namens Kernel Page Table Isolation (KPTI) eingeführt, die den Systemspeicher komplett vor dem User-RAM versteckt. Ähnliche Maßnahmen hat Microsoft in ein seit kurzem ausgeliefertes Notfalls-Update für Windows gepackt. Apple-Rechner haben den notwendigen Schutz bereits mit macOS 10.13.2 erhalten, Chrome-OS-Systeme mit der Version 63, die Mitte Dezember an alle ausgeliefert wurde.

All das hat aber auch eine Schattenseite, die im Vorfeld schon für einige Aufregung sorgte: Die zusätzlichen Schutzmaßnahmen erzeugen nämlich einen gewissen Overhead, der je nach Nutzungsszenario zu merklichen Performance-Verlusten führen kann. Während Intel in einer Pressemitteilung diesen Effekt herunterzuspielen versucht und von vernachlässigbaren Auswirkungen spricht, zeichnen unabhängige Benchmarks ein diffzileres Bild: Gerade bei Aufgaben mit vielen Lese- und Schreibvorgängen sind Einbußen von bis zu 30 Prozent hinzunehmen. Ein Beispiel, bei dem sich die Auswirkungen besonders deutlich zeigen sind Datenbankanwendungen, andere Aufgabengebiete zeigen hingegen nur wenig Unterschiede.

Spectre

Etwas anders gelagert ist die Situation bei „Spectre“. Dieser Bug ist nämlich nicht nur schwerer auszunutzen, über ihn kann auch „nur“ der Speicherschutz zwischen einzelnen Anwendungen ausgehebelt werden – also etwa das Sandboxing bei modernen Betriebssystemen oder Browsern. Ein Zugriff auf den Systemspeicher über diesen Bug hingegen nicht möglich. Doch bevor hier allzu schnell Entwarnung gegeben wird: „Spectre“ hat auch eine andere Seite – und die ist deutlich weniger erfreulich. Hier handelt es sich nämlich um einen grundlegenden Fehler in aktuellen Prozessordesigns, der entsprechend auch AMD-Prozessoren und die vor allem bei Smartphones genutzten Cortex-A-Chips von ARM betrifft. Zudem lassen sich solche Attacken durch Softwareanpassungen nicht vollständig unterbinden, die Betriebssystementwickler können es Angreifern zwar schwerer machen, für eine vollständige Bereinigung bedarf es aber neuer Hardwaregenerationen.

Unterdessen tauchen immer mehr Stellungnahmen von den betroffenen Unternehmen auf. So gibt etwa Google einen Überblick über den Status all seiner Betriebssysteme und Services in Bezug auf „Meltdown“ und „Spectre“. Daraus lässt sich unter anderem ablesen, dass das gerade erst veröffentlichte Jänner-Update für Android (Patch Level 5.1.2018) zusätzliche Sicherheitsmaßnahmen zum Schutz vor solchen Attacken einführt. Google-eigene Dienste wurden hingegen bereits vorab durchgängig geschützt. Im Project Zero-Blog liefert das Unternehmen zudem jede Menge technische Details zu drei konkreten Angriffswegen. Auch ARM geht in einem Blogeintrag auf die Gefährdungslage ein. Bei AMD bestätigt man, dass man von einem Teil der Attacken betroffen ist, bezeichnet die reale Gefahr dadurch aber als „fast null“.

Für die Nutzer bleibt der Ratschlag, die aktuellen Updates umgehend einzuspielen. Angesichts der hohen Gefährdungslage ist dies die einzig empfehlenswerte Vorgehensweise – selbst wenn dies bei manchen Nutzern zu Performance-Einbußen führen könnte. Verstärkt gilt dieser Ratschlag natürlich für alle, die eigene Server oder Cloud-Instanzen betreiben.

2018-01-04T09:26:53+00:00