Geschätzte Kunden und Partner,

Mit diesem Blog möchten wir Sie im Jahr 2018 begrüssen. Wie Sie sicherlich bereits erfahren haben, startet dieses Jahr bereits mit schlechten Neuigkeiten was die Sicherheit von IT-Systemen betrifft – die CPU Schwachstellen Spectre und Meltdown. Aufgrund der sehr hohen Verbreitung und Schwere wollen wir Ihnen einige Informationen zu diesen Schwachstellen zukommen lassen.

Meltdown & Spectre

Es wurden schwerwiegende Schwachstellen in CPU Chips von Intel, AMD und ARM entdeckt, welche es ermöglichen sensitive Informationen aus Applikationen durch einen Zugriff auf den Hauptspeicher auszulesen.

Die Meltdown Schwachstelle entfernt die Barriere zwischen dem Benutzer Applikationen (User Mode) und den sensitiven Komponenten des Betriebssystems (Kernel Mode).

Die Spectre Schwachstelle kann Applikationen dazu bewegen, Ihren Speicherinhalt preiszugeben.

Applikationen, welche auf einem Betriebssystem ausgeführt werden, laufen in der Regel im separierten User Mode, getrennt von wichtigen System Diensten. Wenn eine Applikation einen Zugriff auf die geschützten Komponenten, wie z.B. Memory, Netzwerk oder der Festplatte benötigt, muss dazu die Berechtigung abgefragt werden.

Durch die Meltdown Schwachstelle wird es möglich, auf die geschützten Bereiche zuzugreifen, ohne vorher um Berechtigung zu fragen. Damit wird es möglich, Daten von anderen Anwendungen wie Browsern, Email Clients, Passwort Managern, Encryption Keys, Logins, Kreditkarten Daten usw. zu entwenden.

Auf der anderen Seite wird es durch die Spectre Schwachstelle möglich, Speicher einer verwundbaren Applikation auszulesen. Z.B. könnte eine Webseite, welche man besucht, Java Script ausführen um Logins und Passwörter des Browsers auszulesen.

Da es sich um Schwachstellen in Hardware Komponenten handelt, ist das Schliessen der Schwachstellen nicht ganz so einfach. Die Prozessor Hersteller haben erste Updates für die CPU Firmware von neuen Versionen der Prozessoren angekündigt. Die Ausirkungen und Aufwände, die CPU Firmware zu aktualisieren, können noch nicht abgeschätzt werden.

Unterdessen haben viele Software und Betriebssystem Anbieter Patches für Ihre Plattformen veröffentlicht. Dazu zählen Microsoft, Apple, RedHat, VMWARE, usw. Die Betriebssystem Hersteller haben die Möglichkeit, die Funktionen des Level-2 und Level-3 Caches einzuschränken und damit die Sicherheitslücke zu schliessen. Allerdings haben Berichte von vielen Anwendern gezeigt, dass es dadurch zu Performance Einbussen kommen kann. Dennoch empfehlen wir dringend, diese Security Fixes zeitnah auszurollen.

Exploits

Es existieren bereits erste Proof-of-Concenpt für diese Schwachstellen online. Es ist daher davon auszugehen, dass die ersten Expoits sehr bald veröffentlicht erscheinen. Wir empfehlen Ihnen, wenn nicht schon geschehen, Systeme zeitnah zu patchen.

Common Vulnerabilities and Exposure

Hierbei handelt es sich um eine frei zugängliche Liste von bekannten Schwachstellen, welche nach einem Standard dokumentiert werden. Hersteller und Schwachstellen Management Systeme verweissen auf die CVE Datenbank, um ein einheitliches Bild und Bewertung einer Schwachstelle zu erhalten.

Die Schwachstellen, welche mit Meltdown und Spectre benannt wurden, haben folgende CVE codes:

Spectre:
CVE-2017-5753
CVE-2017-5715

Meltdown
CVE-2017-5754

Die Schwachstellen z.B. auf Windows oder VMware ESX wurden jeweils mit den Risiko Faktor: Hoch bewertet und nach CVSS Bewertung zwischen 7.6 und 9.3 eingestuft.

Clue Services

Clue Appliances, welche für unsere Managed Services eingesetzt werden, führen keinen unsignierten Code aus, weshalb unsere Kunden auf diesen Services vor den Schwachstellen geschützt sind. Wir halten ständig Kontakt mit den Herstellern, um weitere Massnahmen zu prüfen und umzusetzen.

Sofern Clue Appliances auf Virtuellen Host Systemen des Kunden ausgeführt werden, sind diese Appliances durch den Virtualisierungs-Host gefährdet und wir empfehlen, die Security Advisories der Hersteller zu befolgen.

Dadurch sind unsere Services vor allen durch die Spectre und Meltdown bekannt gewordenen Schwachstellen abgesichert.

Weitere Hinweisse

Nicht zum ersten Mal wurde eine eigene Webseite zu neuen Schwachstellen erstellt, so auch diese Mal. Diese Übersichts Seite der Uni Graz beschreibt die Problematik sehr gut. Sie listet Links zu den unterschiedlichen Hersteller Advisories und Patches als auch den POC Texten.

https://meltdownattack.com

Abhilfe durch Schwachstellen Management

Wenn Schwachstellen wie diese bekannt werden, ist es meist sehr aufwändig bis unmöglich, alle betroffenen Systeme zu identifizieren. Weitere grosse Aufwände werden notwendig, um die jeweils für das System richtigen Behebungsmassnahmen zu recherchieren. Sind Software Fixes einmal ausgerollt, muss noch verifiziert werden, dass die Schwachstellen auch erfolgreich behoben oder nicht mehr ausnutzbar ist. Da dies ein sehr aufwändiger Prozess ist, für den im Alltag oft keine Zeit ist, können Schwachstellen leicht von Malware, Ransomware oder Angreifern ausgenutzt werden.

Clue Vulnerability Management ermöglicht Schwachstellen kontinuierlich im Netzwerk zu entdecken, diese zu bewerten und zu beheben. Damit erhalten Sie schnell und ohne grosse Aufwände eine detaillierte Übersicht über die Verwundbarkeit und Lösungswege.

Gerne stellen wir Ihnen das kontinuierliche Schwachstellen Management anhand Ihrer eigenen Infrastruktur unverbindlich vor. Wir freuen uns auf Ihre Nachricht.