Das Jahr 2018 begann für die IT-Branche mit einer der größten Sicherheitslücken der Geschichte: Meltdown und Spectre machen Prozessoren auf Hardwareebene angreifbar – neben Intel-CPUs sind auch solche von AMD und ARM betroffen. Somit ist alles von PCs über Smartphones bis hin zu Cloud-Services ein potenzielles Angriffsziel.

Meltdown und Spectre sind Schwachstellen in CPUs von Intel, AMD und ARM, die es erlauben, sensible Daten abzugreifen. Entdeckt hat die Schwachstellen Jann Horn von Googles Security-Team Project Zero in Zusammenarbeit mit Forschern aus dem kommerziellen und universitären Umfeld, darunter die TU Graz. Letztere hat unter meltdownattack.com die Eckdaten der beiden neuen Angriffsvektoren zusammengefasst und mit weiterführenden Links bereitgestellt.

Die Nachricht ist – nicht nur in der IT-Security-Branche – eingeschlagen wie eine Bombe. Dennoch hier nochmal das Wichtigste in Kürze: Meltdown und Spectre nutzen kritische Sicherheitslücken moderner Prozessoren aus. Diese Hardwareschwachstellen erlauben es, Daten abzugreifen, die ein Computer gerade verarbeitet. Mit Meltdown und Spectre kann ein Angreifer so anwendungsübergreifend Zugang zu Daten erhalten.

Meltdown durchbricht die Isolation zwischen Anwendungen und Betriebssystem. Meltdown ist „wohl einer der schlimmsten CPU-Bugs, die je gefunden wurden“, erklärte Daniel Gruss von der TU Graz gegenüber der Nachrichtenagenur Reuters. „Telefone, PCs, alles wird betroffen sein, aber es wird von Produkt zu Produkt Unterschiede geben“, so Intel-CEO Brian Krzanich in einem Interview mit CNBC. Die Schwachstelle lässt sich allerdings durch Patching des Betriebssystems beheben.

Anwendungsisolation durchbrochen
„Bei Meltdown handelt es sich um einen sehr simplen Angriff, bei dem nur vier Zeilen Computercode ausreichen, um Zugriff zu erlangen“, so die Security-Forscher Moritz Lipp, Michael Schwarz, Stefan Mangard und Daniel Gruss von der TU Graz. „Spectre ist wesentlich aufwändiger, dafür aber auch wesentlich schwerer abzuwehren. Dabei wird das angegriffene Programm dazu gebracht, selbst seine Geheimnisse auszuplaudern.“

Denn Spectre überwindet die Isolation zwischen den Anwendungen. Ein Schadprogramm könnte dadurch zum Beispiel das Master-Passwort auslesen, das der Benutzer gerade zum Login bei seinem Passwort-Manager eintippt. Im Fall von Multi-Tenant-Infrastrukturen wie bei Managed Services und Cloud-Services könnte dieser Datendiebstahl auch mandantenübergreifend erfolgen: Ein Angreifer mietet den virtuellen Server X und liest damit Daten aus Server Y und Z aus, die auf der gleichen Hardware laufen.

Angreifbare Vorhersageversuche
Die Grazer Forscher erläutern die Ursache der Angreifbarkeit moderner Prozessoren wie folgt: Da Computersysteme immer schneller laufen sollen, arbeiten CPUs Instruktionen längst nicht mehr nacheinander ab, sondern parallel. Dabei versucht der Prozessor, die folgenden Schritte vorherzusagen und vorzubereiten: „Aus Performance-Gründen wird dafür noch nicht überprüft, ob das zugreifende Programm überhaupt die Rechte für einen Zugriff hat“, so das Forscherteam. „Wird der Arbeitsschritt doch nicht benötigt oder fehlen die Zugriffsrechte, dann verwirft der Prozessor die Vorarbeit wieder. Diese Vorarbeit wird bei den neuen Angriffen nun ausgenutzt, um sensible Daten aus dem Kernel auszulesen – beispielsweise Passwörter, die in gängigen Internet-Browsern gespeichert sind.“

Noch werden Exploits zu den neu entdeckten Schwachstellen laut Security-Fachleuten nicht aktiv verbreitet. Der Security-Anbieter FireEye verwies jedoch darauf, dass Geheimdienste typischerweise derlei Lücken zur Entwicklung von Angriffswerkzeugen nutzen – und dass dies auch hier der Fall sein dürfte.

„Sicherheitsforscher betrachten die Sicherheit auf Prozessorebene seit ein paar Jahren intensiver“, kommentiert Stefan Strobel, Geschäftsführer des Security-Beratungshauses Cirosec. „In den letzten Jahren gab es bereits einige Veröffentlichungen in diesem Bereich. Beispielsweise hatte Anders Fogh auf der letzten IT-Defense einen Vortrag über Seitenkanal-Angriffe auf den CPU-Cache und Christof Paar einen Vortrag über Hardware-Trojaner in der CPU gehalten.“ Man müsse davon ausgehen, dass in den nächsten Jahren weitere Sicherheitsprobleme auf Prozessorebene bekannt werden.

Viele Angriffsziele
„Meltdown und Spectre sind Sicherheitsprobleme, die fast jeden betreffen. Das macht die Sicherheitslücke so dramatisch“, so Stefan Strobel. „Das Ausmaß des aktuellen Problems ist aufgrund der riesigen Anzahl betroffener Systeme gigantisch, allerdings gab es in den letzten Jahren durchaus Sicherheitsprobleme, die ein größeres Schadenspotenzial bezogen auf einzelne betroffene Systeme hatten.“

Da praktisch jeder moderne Rechner betroffen ist, sind nun die Betreiber von Rechenzentren mit sensiblen Daten, darunter zum Beispiel die namhaften Cloud-Service-Provider, besonders gefährdet. Und der Consultant Alasdair Allan merkte via Twitter an: „Wenn Sie eine Kryptowährungsbörse betreiben, müssen Sie gerade zittern vor Angst.“

Intel zog sich aufgrund zunächst zögerlicher Reaktion auf die vor Monaten vorgelegten Warnungen, seine Prozessoren seien grundlegend anfällig, heftige Kritik zu. So ging auf Twitter ein Rant von Linux-Vordenker Linus Torvalds viral, der Intel heftig attackierte und beschimpfte. Die Betriebssystemhersteller hingegen bemühen sich eifrig um Schadensbegrenzung. So stellte Microsoft Notfall-Patches für Windows 10, aber auch für Windows 7 und 8.1 bereit. Microsoft wies jedoch darauf hin, dass zudem Firmware-Updates der Hardware erforderlich sind. Apple lieferte mit macOS 10.13.2 und iOS 11.2.2 einen Patch aus. Bei Android gestaltet sich die Patch-Versorgung wie üblich – trotz des Januar-Updates von Google – deutlich schwieriger, da die Versions- und Anbieterlandschaft so zersplittert ist.

Das BSI rät selbstverständlich dazu, derlei Patches möglichst zügig aufzuspielen – was in den IT-Abteilungen der Unternehmen und Provider längst geschieht. Allerdings gab es diverse Berichte über Probleme durch die Notfall-Patches. So war etwa zu lesen, dass Windows-Patches Rechner mit manchen Sempron- und Athlon-CPUs unbrauchbar gemacht hatten.

„Das BSI hat in der Vergangenheit bereits mehrfach auf die Problematik von IT-Sicherheitsproblemen in Hardwareprodukten hingewiesen, etwa in unseren jährlichen Lageberichten“, kommentierte BSI-Präsident Arne Schönbohm. „Der vorliegende Fall ist ein erneuter Beleg dafür, wie wichtig es ist, Aspekte der IT-Sicherheit schon bei der Produktentwicklung angemessen zu berücksichtigen.“ Die beiden Grundprizipien „Security by Design“ und „Security by Default“ seien für den Erfolg der Digitalisierung unerlässlich.

Trotz aller Mahnungen: Meltdown und Spectre werden die Security-Welt noch einige Zeit beschäftigen. Denn schießlich gibt es insbesondere gegen Spectre laut den Grazer Forschern, die an der Entdeckung der Lücken mitwirkten, kein sofort wirksames Heilmittel. „Die Behebung der Probleme wird bei größeren Firmen sicher einige Monate oder sogar Jahre dauern“, so Cirosec-Chef Strobel. „Dadurch, dass so viele Prozessoren und entsprechend auch viele verschiedene Gerätetypen betroffen sind, wird es schon Monate dauern, bis ein Konzern überhaupt alle betroffenen Systeme erfasst hat.“ Danach müsse man die Umsetzung einer Lösung erst planen und testen, bevor ein Rollout möglich ist. „Es wird aber auch Bereiche geben“, so Strobel weriter, „in denen man eine Risikoanalyse durchführen und letztlich das Risiko akzeptieren wird, ohne das Problem zu beheben.“

Als Ausgangsbasis für die weitere Recherche eignet sich die oben erwähnte Site der TU Graz meltdownattack.com.

Dr. Wilhelm Greiner ist Stellv. Chefredakteur der LANline.