Mit Superlativen soll man bekanntermaßen lieber sparsam umgehen. Was nun aber Sicherheitsforscher aufgedeckt haben, hat sich das eine oder andere starke Wort aber redlich verdient: Unter den Namen "Meltdown" und "Spectre" wurde nun eine Reihe von grundlegenden Fehlern in aktuellen Prozessoren offengelegt, von denen praktisch alle aktuellen Computer sowie Smartphones betroffen sind.

Meltdown

Die größte aktuelle Bedrohung geht dabei von Meltdown aus: Dabei handelt es sich um jene Fehler in Intel-Prozessoren, die bereits am Mittwoch vorab die Runde machten. Angreifer können auf diesem Weg grundlegende Speicherschutzmaßnahmen aushebeln und erhalten so Zugriff auf den gesamten Speicher – und damit auch auf Bereiche, die normalen Usern eigentlich nicht zur Einsicht stehen sollten. Das bedeutet auch, dass sie problemlos sensible Daten wie Login-Keys, SSL-Schlüssel oder auch Passwörter auslesen können. Mit solchen Informationen könnte in weiterer Folge dann ein System komplett übernommen werden.

Was Meltdown besonders unerfreulich macht: Der Bug ist äußerst einfach – und zuverlässig – auszunutzen. So kursieren mittlerweile etwa bereits "Proof of Concept"-Exploits, die den Fehler über Javascript triggern. Besonders hoch ist die Gefahr dabei für Nutzer – und Betreiber – von Cloud-Services. So könnte ein Angreifer einfach eine Instanz auf Services wie Amazon AWS anmieten und dann massenweise Daten von anderen Nutzern auf dem gleichen System abgreifen – und dieses Spiel dann immer neu wiederholen.

Updates helfen

Aber es gibt auch erfreuliche Nachrichten: Einerseits betrifft Meltdown nach aktuellem Wissensstand ausschließlich Systeme mit Intel-CPUs (hier dafür fast alle Prozessoren der letzten 20 Jahre), AMD- und ARM-Systeme sollen also nicht gefährdet sein. Vor allem aber lässt sich die Ausnutzung dieses Hardwarefehlers durch Softwaremaßnahmen unterbinden. Und hier haben die großen Betriebssystemhersteller in den letzten Monaten bereits hinter den Kulissen entsprechende Patches entwickelt. So wurde unter Linux mit Kernel 4.14.11 eine neue Sicherheitsmaßnahme namens Kernel Page Table Isolation (KPTI) eingeführt, die den Systemspeicher komplett vor dem User-RAM versteckt. Ähnliche Maßnahmen hat Microsoft in ein seit kurzem ausgeliefertes Notfalls-Update für Windows gepackt. Apple-Rechner haben den notwendigen Schutz bereits mit Mac OS 10.13.2 erhalten, Chrome-OS-Systeme mit der Version 63, die Mitte Dezember an alle ausgeliefert wurde.

All das hat aber auch eine Schattenseite, die im Vorfeld schon für einige Aufregung sorgte: Die zusätzlichen Schutzmaßnahmen erzeugen nämlich einen gewissen Overhead, der je nach Nutzungsszenario zu merklichen Performance-Verlusten führen kann. Während Intel in einer Pressemitteilung diesen Effekt herunterzuspielen versucht und von vernachlässigbaren Auswirkungen spricht, zeichnen unabhängige Benchmarks ein diffizileres Bild: Gerade bei Aufgaben mit vielen Lese- und Schreibvorgängen sind Einbußen von bis zu 30 Prozent hinzunehmen. Ein Beispiel, bei dem sich die Auswirkungen besonders deutlich zeigen, sind Datenbankanwendungen, andere Aufgabengebiete zeigen hingegen nur wenig Unterschiede.

Spectre

Etwas anders gelagert ist die Situation bei Spectre. Dieser Bug ist nämlich nicht nur schwerer auszunutzen, über ihn kann auch "nur" der Speicherschutz zwischen einzelnen Anwendungen ausgehebelt werden – also etwa das Sandboxing bei modernen Betriebssystemen oder Browsern. Ein Zugriff auf den Systemspeicher ist über diesen Bug hingegen nicht möglich.

Doch bevor hier allzu schnell Entwarnung gegeben wird: Spectre hat auch eine andere Seite – und die ist deutlich weniger erfreulich. Hier handelt es sich nämlich um einen grundlegenden Fehler in aktuellen Prozessordesigns, der entsprechend auch AMD-Prozessoren und die vor allem bei Smartphones genutzten Cortex-A-Chips von ARM betrifft. Zudem lassen sich solche Attacken durch Softwareanpassungen nicht vollständig unterbinden, die Betriebssystementwickler können es Angreifern zwar schwerer machen, für eine vollständige Bereinigung bedarf es aber neuer Hardwaregenerationen.

Überblick

Unterdessen tauchen immer mehr Stellungnahmen von den betroffenen Unternehmen auf. So gibt etwa Google einen Überblick über den Status all seiner Betriebssysteme und Services in Bezug auf Meltdown und Spectre. Daraus lässt sich unter anderem ablesen, dass das gerade erst veröffentlichte Jänner-Update für Android (Patch Level 5.1.2018) zusätzliche Sicherheitsmaßnahmen zum Schutz vor solchen Attacken einführt. Google-eigene Dienste wurden hingegen bereits vorab durchgängig geschützt. Im Project-Zero-Blog liefert das Unternehmen zudem jede Menge technische Details zu drei konkreten Angriffswegen. Auch ARM geht in einem Blogeintrag auf die Gefährdungslage ein. Bei AMD bestätigt man, dass man von einem Teil der Attacken betroffen ist, bezeichnet die reale Gefahr dadurch aber als "fast null".

Spurensuche

Beide Lücken wurden parallel von mehreren Gruppen an Sicherheitsforschern entdeckt: Neben Googles Project Zero und dem deutschen Sicherheitsdienstleister Cyberus hatten dabei auch Forscher der TU Graz die Hände im Spiel, die schon in der Vergangenheit mit ihrer Forschung zu den Rowhammer-Angriffen gegen DRAM-Bausteine für Aufsehen gesorgt haben. Auf die Frage, ob die betreffenden Lücken bislang schon aktiv ausgenutzt wurden, können die Forscher übrigens keine Antwort geben. Laut den Grazer Experten ist es einer der schwersten je gefundenen Prozessorenfehler. Die Natur von Meltdown und Spectre als Hardwaredefizite führt nämlich dazu, dass solche Attacken vollkommen unbemerkt erfolgen können, also ohne sich in den üblichen Log-Files niederzuschlagen.

User-Tipp

Für die Nutzer bleibt der Ratschlag, die aktuellen Updates umgehend einzuspielen. Angesichts der hohen Gefährdungslage ist dies die einzig empfehlenswerte Vorgehensweise – selbst wenn dies bei manchen Nutzern zu Performance-Einbußen führen könnte. Verstärkt gilt dieser Ratschlag natürlich für alle, die eigene Server oder Cloud-Instanzen betreiben.

Neben Betriebssystemaktualisierungen stehen dabei zum Teil auch andere Software-Updates an. So müssen etwa Browser angepasst werden, da die Bugs sonst Angriffe gegen diese erheblich erleichtern. Mozilla liefert in einem Blogeintrag Details zu den notwendig gewordenen Maßnahmen im Firefox, aber auch für Microsoft Edge gibt es ein diesbezügliches Update, Chrome soll mit der Version 64 am 23. Jänner zusätzliche Schutzmaßnahmen erhalten. Angesichts dessen, dass sich Spectre nicht so einfach komplett ausräumen lässt, gibt Google auch Tipps für Seitenentwickler, wie sie Angreifern das Leben zumindest schwerer machen können. Auch verspricht das Unternehmen in den kommenden Monaten weitere Sicherheitsmaßnahmen einzuführen, die zum Teil aber Performanceeinbußen zur Folge haben werden.

Bei den großen Cloud-Anbietern ist derzeit ebenfalls hektische Aktivität zu verzeichnen. So betont etwa Amazon, dass mittlerweile bereits fast alle der auf der eigenen Plattform laufenden EC2-Instanzen abgesichert wurden. Der Rest – angeblich eine Zahl im einstelligen Prozentbereich – soll die Updates in den nächsten Stunden erhalten.

Keine umfassende Lösung möglich

Ganz generell gilt es noch einmal zu betonen, dass die aktuelle Update-Runde nur einen Teil der Lücken ausräumen kann. Ein anderer wird die IT-Welt wohl noch länger beschäftigen – und erst mit neuen Hardwaregenerationen beseitigt werden.

Viele offene Fragen

Bei all dem bleibt unklar, was die über die aktuellen Software-Updates hinausreichenden Konsequenzen sein werden. Nach den ersten Gerüchten über die Meltdown-Lücken hatte der Intel-Aktienkurs um mehr als fünf Prozent nachgegeben. Manche Beobachter brachten gar Sammelklagen oder riesige Rückrufaktionen ins Spiel. Letzteres dürfte aber allein aufgrund der dafür nötigen Ressourcen unmöglich sein. (Andreas Proschofsky, 4.1.2018)