Sicherheitslücke auf CPUs
11.01.18 Erneut sind Forscher auf zwei Sicherheitslücken gestoßen, durch die Angreifer an vertrauliche Daten auf Computern, Laptops und Smartphones oder sogar der Cloud gelangen können. Meltdown und Spectre stehen für zwei Methoden bzw. Programme, welche für zwei sehr ähnliche Sicherheitslücken im Zusammenhang mit Optimierungen der Performance von CPUs stehen. Neu an dieser Sicherheitslücke ist der Umstand, dass diese nur auf der Hardware und nicht der Software besteht und auch nur dort geschlossen werden kann.
Die Auswirkung dieser Sicherheitslücke ist mit zahlreichen Exploits der letzten Jahre vergleichbar und damit nicht schwerwiegender als die bekannten Sicherheitslücken. Die besondere Problematik ist in diesem Fall in der Zeitschiene der voraussichtlichen Lösung dieses Sicherheitsproblems zu suchen. Bei den bisherigen Sicherheitslücken konnte man auf ein Update der Software-Hersteller innerhalb von wenigen Tagen bis wenigen Minuten warten und dieses einfach nur einspielen. Im schlimmsten Fall musste der Server anschließend einmal durchgestartet werden.
Die Auswirkung dieser Sicherheitslücke ist mit zahlreichen Exploits der letzten Jahre vergleichbar und damit nicht schwerwiegender als die bekannten Sicherheitslücken. Die besondere Problematik ist in diesem Fall in der Zeitschiene der voraussichtlichen Lösung dieses Sicherheitsproblems zu suchen. Bei den bisherigen Sicherheitslücken konnte man auf ein Update der Software-Hersteller innerhalb von wenigen Tagen bis wenigen Minuten warten und dieses einfach nur einspielen. Im schlimmsten Fall musste der Server anschließend einmal durchgestartet werden.
Im aktuellen Fall können dazu nur die Hersteller der CPUs, also der Hardware tätig werden und das Chipdesign entsprechend überarbeiten. Eine bloße Änderung des Microcodes reicht hier leider nicht aus. Anschließend müssen die Betreiber und Anwender der Rechner und Server ihre CPUs auf physikalischem Wege austauschen. Damit lassen sich die Spekulationen, welche von einem Zeitraum von bis zu zwei Jahren ausgehen relativ leicht nachvollziehen.
Wie kann man diesem Problem zum aktuellen Zeitpunkt begegnen?
Es gibt dazu zwei Ansatzpunkte, welche auf jeden Fall parallel verfolgt werden sollten:
- Einspielen eines Workarounds, welcher das Ausnutzen der bekannten Sicherheitslücke zumindest erheblich erschwert.
- Allgemeine Sicherheitsmaßnahmen im Zusammenhang mit den zwei grundsätzlichen Einfallstoren.
Die erste Maßnahme kann realtiv schnell erfolgen, ist jedoch potenziell mit Performance-Einbußen verbunden. Wer mit Debian-Linux im Server- oder Desktop-Bereich arbeitet, kann in der stabilen Version (Stretch) bereits jetzt den aktuellen Patch durch ein "apt-get update; apt-get upgrade" einspielen, bzw. auf dem Desktop den Anweisungen in der Taskleiste folgen.
Die zweite Maßnahme sollte natürlich allein auf Grund der zahlreichen Zero-Day-Exploits selbstverständlich sein. Im aktuellen Fall erhöht sich hier natürlich der Druck, solange die eigentliche Sicherheitslücke nicht geschlossen werden kann und potenzielle Angreifer sehr viel Zeit zum Entwickeln von passender Schadsoftware haben.
Einfallstore schließen
Das erste Einfallstor besteht in der gewollten oder ungewollten Ausführung von Dateianlagen oder in Webseiten eingebetteten Scripten unsicherer Herkunft. Dabei muss man bemerken, dass auch bekannte und vertrauenswürdige Absender bereits kompromittiert worden sein könnten und damit ein potenzielles Risiko darstellen. Hier gilt mindestens die Regel, ein Programm nur dann auszuführen, wenn man dieses ausdrücklich angefordert hat. Das gilt selbstverständlich auch für Makros in Word-, Excel- oder PDF-Dateien. Für das Besuchen von Webseiten raten wir zu der Verwendung eines Javascript-Blockers wie z.B. "NoScript". Allerdings muss man sich auf erhebliche Einbußen beim "Surferlebnis" einstellen.
Das zweite Einfallstor ist genau dann relevant, wenn nicht sichergestellt werden kann, dass auf einem Server ausschließlich vertrauenswürdige Nutzer Programme zur Ausführung bringen können. Das gilt z.B. für Server mit shared Webservern oder Virtualisierungs-Server. Das Problem betrifft also in erster Linie die Provider.
Hier hat die InfraNet auf ihren Systemen bereits einige Maßnahmen verbessert und arbeitet an weiteren Möglichkeiten, das Risiko so niedrig wie möglich zu halten oder grundsätzlich auszuschließen.
Für weitere Fragen können Sie sich jederzeit bei uns melden. Gerne übernehmen wir für Sie die Einspielung des Debian-Patches.