goSecurity BLOG

„Alles brennt, alles geht in Flammen auf“… singt Johannes Oerding in einem seiner Songs. So oder so ähnlich mag sich der eine oder andere Administrator in den letzten Tagen gefühlt haben, wenn er die Nachrichten zu der unter Meltdown und Spectre bekanntgewordenen Schwachstellen verfolgt hat. Tatsächlich handelt es sich um massive Schwachstellen. Meltdown und Spectre bezeichnen allerdings nicht die Schwachstellen, sondern Angriffsszenarien von Googles Project Zero.

Was ist genau betroffen?

Die Schwachstelle befindet sich in der Architektur diverser Prozessoren. Im Zusammenspiel mit den Betriebssystemen wird dies gefährlich. Durch die Schwachstelle ist es (unter Umständen) möglich, auf fremde Speicherbereiche zuzugreifen. Konkret ist es denkbar, dass von einer virtuellen Maschine auf Informationen einer fremden virtuellen Maschine zugegriffen werden kann. Oder dass eine Webapplikation auf Informationen einer anderen Applikation zugreifen kann. Neben Intel sind aber auch Hersteller wie ARM und AMD betroffen. Weitere Hersteller von Prozessoren (wie Nvidia) befinden sich noch in Abklärungen ob sie auch betroffen sind.

Wie kann ich mich schützen?

Auch wenn die Schwachstelle den Prozessorherstellern zugeschrieben wird, können diese die Schwachstelle nicht direkt beheben. Dazu müsste die Hardware ausgetauscht werden. Alternativ wird nun die Software gepatcht, insbesondere die Betriebssysteme. Das ist eigentlich keine effektive Lösung. Die Software soll nun die Hardware schützen.Inwiefern das abschliessend funktionieren wird, ist im Moment schwer abzuschätzen. Das zeigt auch die Tatsache, dass beispielsweise für Browser nochmals separate Patches veröffentlicht wurden, oder kurz vor der Veröffentlichung stehen.

Viele Hersteller haben bereits Notfall-Patches veröffentlicht. Dazu gehören: Mozilla (Firefox), Microsoft (Windows, Internet Explorer und Edge) sowie VMware (ESX). Vorsicht bei der Installation von den Microsoft Patches. In Zusammenhang mit Antiviren-Applikationen kann es zu Problemen (bis zum Bluescreen) kommen! Microsoft empfiehlt die Patches nur einzuspielen, wenn die Kompatibilität mit Ihrem Antivirenhersteller bestätigt wurde. Beachten Sie dazu den untenstehenden Link.

Des Weiteren gibt es z.B. von Google die Empfehlung im Browser Chrom / Chromium die Option für die Webseiten-Isolierung zu aktivieren. Auch das zeigt meines Erachtens, die Komplexität der ganzen Geschichte.

Was sollten Sie nun machen?

Ich sehe zwei Möglichkeiten. Einmal können Sie sich sehr intensiv mit dem Thema beschäftigen und versuchen jede einzelne vorgeschlagene Massnahme für jede einzelne bei Ihnen eingesetzte Applikation umzusetzen. Das ist möglicherweise einigermassen effektiv, aber enorm aufwändig und aufgrund der Komplexität schwer zu strukturieren. Grosse Betriebe werden aber kaum um ein intensives Arbeits-Wochenende kommen.

Als zweite Möglichkeit ist es aus meiner Sicht sehr wichtig, Systeme rasch zu patchen. Patchen Sie zumindest Betriebssysteme und Browser so schnell wie möglich. Beachten Sie dabei das angesprochene Windows Problem mit Antiviren-Applikationen.

Weitere Details und Massnahmen werden sich vermutlich über das Wochenende herausstellen. Informieren Sie sich auf jeden Fall am Sonntagabend oder spätestens am Montagmorgen über die neuesten Fakten zum hoffentlich einzigen Incident dieser Grössenordnung in diesem Jahr.

Quellen

Probleme von Windows und Antivirus

https://support.microsoft.com/en-us/help/4072699/important-information-regarding-the-windows-security-updates-released

Google Chrome: Webseiten-Isolierung aktivieren

https://www.heise.de/security/meldung/Prozessor-Bug-Browser-Hersteller-reagieren-auf-Meltdown-und-Spectre-3933043.html