lolloj - Fotolia

Meltdown und Spectre: Das sollten Unternehmen beachten

Während Endanwender von den Sicherheitslücken in vielen Prozessoren weniger direkt bedroht sind, sollten Unternehmen die Bedrohung ernst nehmen und Maßnahmen ergreifen.

Nachdem die Angriffsszenarien auf Prozessoren Meltdown und Spectre öffentlich bekannt sind, rechnen Sicherheitsexperten damit, dass böswillige Angreifer diese schnell in ihren Werkzeugkasten aufnehmen. Unternehmen sollten daher keine Zeit verlieren, entsprechende Maßnahmen einzuleiten.

Laut Sicherheitsforschern von McAfee sind diese Exploits für entsprechende Gruppen mit unlauteren Absichten sehr attraktiv. So sei die Angriffsfläche beispiellos, der Angriffsvektor relativ neu und die Auswirkungen (Rechteerhöhung und Datenlecks in sensiblem Speicher) sehr schädlich.

Die wahrscheinlichste Art und Weise, wie Unternehmen betroffen sein können, sei der Verlust von Zugriffsrechten auf Administrator-Niveau. Die Exploits werden es Angreifern viel einfacher machen, die Daten von Domänenadministratoren oder ähnlich hochwertige Zugangsdaten zu ergattern. Zudem könnten es die Exploits Angreifern erlauben, Wissen über den Kernel-Speicher zu erlangen, dass für andere Angriffe genutzt werden kann.

Meltdown ist das Angriffsszenario, dass sich eine Intel-spezifische Schwachstelle bei den Prozessoren zunutze macht. Dies ermöglicht es Anwenderprozessen, den Inhalt des Kernelspeichers herzuleiten.

Der Spectre-Angriff betrifft nicht nur Prozessoren eines bestimmten Herstellers, sondern fast alle modernen Prozessoren besitzen diese Schwachstelle. Dabei kommt bedingte Logik zum Einsatz, um das System zu trainieren und das Anwendungsverhalten falsch zu antizipieren. Dadurch wird das System dazu gebracht, die Prozessisolation zu durchbrechen, temporäre Befehle auszuführen, die beobachtbare Effekte und einen verdeckten Kanal erzeugen.

Laut Jeff Pollard, Principal Analyst bei Forrester, zeigen die Sicherheitslücken des Chips die Komplexität der Angriffsfläche auf die Unternehmenssicherheit. „Unternehmen müssen dem Testen und Bereitstellen der Updates Vorrang einräumen. Sonst besteht die Gefahr, dass Angreifer die Exploits auszunutzen. Daher betonen wir das „Null-Vertrauen-Prinzip“ als grundlegendes Konzept der Cybersicherheit. Ihre Hardware ist nicht sicher, Ihre Software ist nicht sicher und Ihre Sicherheitsprodukte sind nicht sicher“, so Jeff Pollard.

Was Unternehmen über Meltdown wissen sollten

Die gute Nachricht: Meltdown ist mit Software-Updates zu entschärfen. Experten raten daher Unternehmen, so schnell wie möglich die Sicherheitsupdates für Betriebssysteme einzuspielen, um den Meltdown-Exploit abzuschwächen.

Aufgrund der Art des Updates rät das McAfee Advanced Threat Research Team Unternehmen jedoch zunächst manuelle Updates auf unkritischen Systemen durchzuführen. So könne man die Kompatibilität mit Software testen, die eventuell Low-Level-Funktionen des Betriebssystems nutzt. Die unmittelbarste Bedrohung für Unternehmen ist der durch Meltdown mögliche Speicherzugriff, so Jarno Niemelä, Sicherheitsforscher bei F-Secure Labs.

Umgehung der Rechteerhöhung

Vor dem Bekanntwerden von Meltdown benötigten Angreifer Zugriff auf Systemebene, um spezielle Tools zum Diebstahl von Zugangsdaten einzusetzen, so Niemelä. Mit Meltdown könnten solche Operationen ohne Rechteerweiterung durchgeführt werden, was Angreifern erheblich helfen würde. „Früher war der Angreifer darauf angewiesen, dass es eine lokale Sicherheitslücke gibt, die eine Rechteerhöhung erlaubt.“, sagte Niemelä den Kollegen von Computer Weekly.

Zudem mache Meltdown einige andere Angriffe gefährlicher, wie beispielsweise Rowhammer. Rowhammer arbeitet mit Manipulationen im Speicher und wird typischerweise bei Rechteerhöhung-Exploits verwendet. Vor Meltdown war die Effektivität von Rowhammer dadurch eingeschränkt, dass der Angreifer nicht sehen konnte, wo sich die kritischen Bits im Kernelspeicher befinden, so Niemelä. Jetzt, solange Systeme nicht upgedatet sind, kann ein Angreifer sehen, was manipuliert werden muss.

Darüber macht es Meltdown potentiell möglich, Schwachstellen auszunutzen, die bislang durch die Speicherverwürfelung (Address Space Layout Randomization, ASLR) abgemildert wurden.

Die Cloud-Anbieter haben bereits Maßnahmen ergriffen, um die der Cloud zugrundeliegende Infrastruktur zu patchen. Unternehmen müssen jedoch auch alle virtuellen Maschinen und Container auf den aktuellen Stand bringen. Platform-as-a-Service (PaaS) und Software-as-a-Service (SaaS) sollten hingegen keinen Eingriff von Kundenseite erfordern. Hier sollten die entsprechenden Anbieter die Updates installieren. Im Zweifelsfall sollten Unternehmen aber überprüfen, ob ihr jeweiliger Service Provider das Problem kennt und die Patches installiert hat.

Da Meltdown gegen die Grundsätze verstößt, auf die sich Entwickler und Sicherheitsprofis seit Jahren verlassen haben, um die Datensicherheit zu gewährleisten, ist laut Forrester die Sicherheit aller Daten, die ein Unternehmen verarbeitet oder überträgt, einem Risiko ausgesetzt. Anbieter, die zu lange benötigen, um Systeme zu aktualisieren, gefährden Unternehmens- und Kundeninformationen, warnt Forrester. Unternehmen sollten zusammenarbeiten, um sicherzustellen, dass alle Partner die Bedrohung ernst nehmen.

Unternehmen, die sich nicht nach den grundlegenden Grundsätzen in Sachen Sicherheit und Administratorenzugriff richten, setzen sich bereits unnötigen Risiken aus, so Forrester. So sei der wahrscheinlichste Angriffsvektor gegen einen Bare-Metal-Server die Ausnutzung einer Schwachstelle in einem externen Dienst. Es sei jetzt an der Zeit, bei der Behebung anderer Software-Schwachstellen besonders sorgfältig vorzugehen, so die Empfehlung von Forrester.

Microsoft hat ein PowerShell-Skript veröffentlicht, mit dem festgestellt werden kann, ob ein System anfällig für Meltdown ist. Linux enthält entsprechende Befehle. Bis dies Einzug in Tools für das Schwachstellen-Management und Monitoring der Infrastruktur hält, sei dies laut Forrester die einzige Möglichkeit der Anfälligkeit auf die Spur zu kommen.

Was Unternehmen über Spectre wissen sollten

Das Problem Spectre lässt sich nicht ganz so einfach mit Software reparieren, dies könnte laut Forrester ein größeres Problem für Unternehmen darstellen. Eine Abschwächung von Spectre ist durch ein Update des Microcodes der entsprechenden Prozessoren möglich. Für eine dauerhafte Beseitigung der Schwachstelle müssten theoretisch die betroffenen Prozessoren ausgetauscht werden. Allerdings stünden derzeit auch keine Alternativen ohne diese Schwachstelle zur Verfügung. Bis neue Prozessoren und Architekturen zur Verfügung stehen, kann einige Zeit vergehen. Daher sind nach Ansicht von Forrester die Microcode-Updates die beste Option, auch wenn es zu Leistungseinbußen kommen könnte.

Angesichts der Komplexität, die diese Updates durch die Gerätehersteller mit sich bringen können, rät Forrester Unternehmen zu weiteren Maßnahmen, um die Sicherheit zu gewährleisten. Zusätzlich zu den Microcode-Updates sollten Unternehmen folgendes beherzigen:

  • Priorisieren der Updates von Anwendungssoftware in Bezug auf Spectre, sobald diese verfügbar sind.
  • Einplanung von zusätzlichen Support-Ressourcen, da es aufgrund der Updates zu Leistungseinbußen oder anderen Problemen kommen kann.
  • Eigene Anwendungen müssen unter Umständen neukompiliert werden.

Wie erwähnt, aktualisieren Cloud Provider die ihren Plattformen zugrundeliegenden Technologie-Stacks, auf denen die Dienste laufen. Unternehmen müssen berücksichtigen, dass virtuelle Maschinen und Container gleichfalls aktualisiert werden müssen.

Bei eigenen On-Premises-Workloads sind Unternehmen für den gesamten Stack selbst verantwortlich, inklusive Betriebssysteme, Hypervisoren und Firmware, so Forrester. Eventuell gilt es auch Management-Schnittstellen zu aktualisieren, die über eigene Prozessoren verfügen. System-Administratoren wie Cloud-Verantwortliche dürfen sich wohl auf reichlich Mehrarbeit einrichten. Bei einer Abwehrstrategie in Sachen Meltdown und Spectre sollten Unternehmen die Absicherung ihrer Cloud-Umgebungen priorisieren.

Beide Exploits senken die Anforderungen für Unbefugte, um Zugriff auf Daten zu erhalten und diese zu exfiltrieren. Da es Seitenkanäle für Datenlecks gibt, wenn Angreifer auf einem nicht gepatchten System Zugriff bekommen, benötigen diese nicht immer die Codeausführung auf einer bestimmten Systeminstanz. Bei nicht gepatchten Systemen müssen Unternehmen davon ausgehen, dass Unbefugte auf Informationen Zugriff bekommen könnten.

Um ein Unternehmen in der Cloud gezielt anzugreifen, müssten Angreifer einen Weg finden, vom Provider auf demselben Server platziert zu werden wie das anvisierte Ziel. Da dies laut Forrester wohl schwierig zu erreichen ist, sei das wahrscheinlichste Szenario, dass Kriminelle anfangen, dies Systeme ihrer „Nachbarn“ in der Cloud nach verwertbaren Informationen abzusuchen.

Abseits von Cloud-Umgebungen sind folgende Systeme einem erhöhten Risiko ausgesetzt:

  • Endgeräte, bei denen nicht sichergestellt werden kann, dass nur vertrauenswürdiger Code ausgeführt wird
  • Alte Systeme, auf denen Betriebssystemversionen laufen, die keine Updates erhalten oder nicht mehr upgedated werden können.
  • Jedes System außerhalb der Firewall.

Der Art der Updates zu Behebung von Meltdown und Spectre macht es wahrscheinlich, dass die Leistung der Systeme dadurch beeinflusst wird. Mandantenfähige Systeme und Anwendungen, bei denen Systemaufrufe auf Kernel-Ebene eine große Rolle spielen, wie beispielsweise Datenbanken, werden vermutlich stärker betroffen sein. Auf Desktops, Notebooks und Tablets wie Smartphones werden die Auswirkungen bei benutzerorientierten Anwendungen wie Browser, Textverarbeitung oder Messaging wahrscheinlich weniger zu spüren sein. Die Prozessorhersteller und Software-Anbieter haben darauf hingewiesen, dass die Patches zwar einen gewissen Overhead für Betriebssysteme und Virtualisierungssoftware mit sich bringen, aber keine allgemeinen Performance-Probleme verursachen werden.

Zusätzlich zu den Betriebssystem-Updates rät Jarno Niemelä von F-Secure Labs Unternehmen die Angriffsfläche zu verringern. Dies sei nicht unproblematisch, da Spectre-Angriffe auch über Javascript ausgeführt werden könnten, das wiederum von einem Webbrowser ausgeführt wird. Für die gängigen Browser stehen allerdings bereits Updates parat, um die Schwachstellen zu mildern. Unternehmen sollten die Browser-Updates bei Verfügbarkeit einspielen, so Niemelä. Für bestimmte Angriffsziele könne es sinnvoll sein, Javascript zu blockieren beziehungsweise zu begrenzen.

Keine Panik

Meltdown und Spectre sind bedeutende Schwachstellen mit weitreichenden Auswirkungen, aber das Gesamtrisiko ist überschaubar, da die Ausnutzung der Schwachstellen lokalen Admin-Zugriff auf das System erfordert, meint Javvad Malik, Sicherheitsbeauftragter bei AlienVault. „Wenn jemand ein System bereits auf diesem Niveau kompromittiert wird, gibt es größere Probleme, um die man sich Sorgen machen müsste.“, so Malik. Google, AWS und Azure sind bereits vollständig gepatcht, so dass deren Nutzer entsprechend geschützt sein sollten. Bei lokalen Servern und Computern sei es ratsam, diese vollständig zu patchen und auf dem neuesten Stand zu halten. Bislang gäbe es keine bekannten Fälle, in denen die Schwachstellen ausgenutzt worden seien. „Und Nutzer können nur wenig tun, außer die Systeme zu aktualisieren und die Patches einzuspielen.“, sagte Javvad Malik zu den Kollegen von Computer Weekly.

Abseits der Sorgen hinsichtlich der potentiellen Folgen von Meltdown und Spectre sieht McAfee bei der Entdeckung der Exploits auch einen positiven Aspekt. Dies sei eine weitere massive Sicherheitslücke, die durch die Sicherheits-Community entdeckt und kommuniziert wurde und nicht durch einen Angriff in freier Wildbahn bekannt wurde. Diese Sicherheitslücken würden für eine erhöhte Aufmerksamkeit in Sachen Software- und Hardware-Sicherheit sorgen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit