2386863

Spectre-Gefahren: So schützen Sie Ihre CPU

07.11.2018 | 14:07 Uhr | Arne Arnold, Hans-Christian Dirscherl,

Sicherheitsforscher haben im letzten Jahr gravierende Lücken in nahezu allen CPUs gefunden und diese auf die Namen Meltdown und Spectre getauft. Im Mai wurden acht Sicherheitslücken entdeckt. Wir geben einen Überblick.

Anfang des Jahres platzte eine Bombe: Viele Prozessoren wiesen gravierende und nur schwer zu behebende Sicherheitslücken auf, über die sensible Speicherinhalte und somit Daten des PCs ausgelesen werden können. Betroffen waren beziehungsweise sind ganz verschiedene Gerätearten, darunter insbesondere auch Desktop-Computer und Notebooks mit CPUs sowohl von Intel als auch von AMD – und zwar unabhängig vom installierten Betriebssystem. Zusammengefasst wurden die verschiedenen Schwachstellen unter den Begriffen „Spectre“ sowie „Meltdown“. Was also ließ und lässt sich tun, um diese Sicherheitslücken zu schließen? Schutz bietet geeignete Firmware der Hauptplatine, auf der die CPU schließlich steckt. Die Aktualisierung des Bios beziehungsweise Uefi ist deshalb der wichtigste Schritt.

Der PC-WELT-Online-Ratgeber beschreibt Schritt für Schritt, wie Sie so ein Mainboard-Update durchführen. Das beginnt bei der genauen Identifikation des Boards und der installierten Bios-/ Uefi-Version und führt Sie über den Download der passenden Update-Datei bis hin zur sicheren Installation. Da diese je nach Hersteller und Variante des Computers beziehungsweise der Hauptplatine ziemlich unterschiedlich ablaufen kann, beschreiben wir alle drei wichtigen Methoden ebenfalls im Detail: aus dem laufenden Windows-Betrieb heraus, direkt im Bios beziehungsweise Uefi oder über ein externes Bootmedium. Nach wenigen Minuten ist die Mainboard-Aktualisierung abgeschlossen – Zeit, die Sie auf jeden Fall zum Schutz gegen Spectre und Meltdown investieren sollten.

Weil es die jeweils neuen Bios-/Uefi-Versionen zum Teil erst nach Monaten gibt – oder für viele ältere Boards gar nicht mehr – hatte Microsoft im März sogenannte Microcode-Updates für Windows 10 bereitgestellt. Zunächst standen die Updates gegen Spectre und Meltdown nur für neuere Intel-Prozessoren bereit, inzwischen auch für ältere bis zurück zur vierten Core-i-Generation.

Relevant: Spectre Next Generation - Neue Sicherheitslücken in Intel-CPUs entdeckt

So anfällig sind Prozessoren

Je nach der Vorgehensweise bei der Ausnutzung der Sicherheitslücke nennt man die benutzte Lücke Meltdown oder Spectre. Die Lücken erlauben es, dass feindlicher Code auf eigentlich geschützte Speicherbereiche in der CPU zugreifen und dort sensible Daten auslesen kann. Ausnutzen lassen sich drei Angriffswege, weshalb diese drei CVE-Nummern ( Common Vulnerabilities and Exposures ) erhalten haben. Konkret geht es um CVE-2017-5753 Bounds check bypass, Spectre, Variante 1; CVE-2017-5715, Branch target injection, Spectre, Variante 2; CVE-2017-5754, Rogue data cache load, Meltdown, Variante 3.

Meltdown (Englisch für Kernschmelze) gilt als die schwerwiegendere Lücke. Sie betrifft vor allem Intel-, jedoch auch ARM- und Apple-Prozessoren. Die andere Lücke wird als Spectre (Englisch für Schreckgespenst) bezeichnet und soll ARM-, AMD-, Apple- und Intel-Prozessoren betreffen. Von der Meltdown-Schwachstelle betroffen sind nahezu alle Intel-Prozessoren seit 1995. Ausgenommen sind nur Intel Itanium und Atom vor 2013. Einen Überblick über die betroffenen Systeme finden Sie im Kasten auf der rechten Seite. Betroffen sind die Betriebssysteme Windows, Windows Server und Windows Phone/Mobile, Linux, Mac-OS, iOS und TV-OS sowie Chrome-OS und Android. Neben den Betriebssystemen sind darüber hinaus die Browser Chrome, Firefox, Edge sowie Internet Explorer direkt betroffen, da über diese besonders einfach Angriffscode ins System gelangen kann.

Das sind die betroffenen Intel-Prozessoren

Intel Core i3 (45nm und 32nm)
Intel Core i5 (45nm und 32nm)
Intel Core i7 (45nm und 32nm)
Intel Core M-Familie (45nm und 32nm)
2. Generation Intel Core
3. Generation Intel Core
4. Generation Intel Core
5. Generation Intel Core
6. Generation Intel Core
7. Generation Intel Core
8. Generation Intel Core
Intel Core X-Series-Familie für Intel-X99-Plattformen
Intel Core X-Series-Familie für Intel-X299-Plattformen
Intel Xeon 3400 Serie
Intel Xeon 3600 Serie
Intel Xeon 5500 Serie
Intel Xeon 5600 Serie
Intel Xeon 6500 Serie
Intel Xeon 7500 Serie
Intel Xeon E3-Familie
Intel Xeon E3v2-Familie
Intel Xeon E3v3-Familie
Intel Xeon E3v4-Familie
Intel Xeon E3v5-Familie
Intel Xeon E3v6-Familie
Intel Xeon E5-Familie
Intel Xeon E5v2-Familie
Intel Xeon E5v3-Familie
Intel Xeon E5v4-Familie
Intel Xeon E7-Familie
Intel Xeon E7v2-Familie
Intel Xeon E7v3-Familie
Intel Xeon E7v4-Familie
Intel Xeon Scalable-Familie
Intel Xeon Phi 3200, 5200, 7200 Series
Intel Atom C-Serie
Intel Atom E-Serie
Intel Atom A-Serie
Intel Atom x3-Serie
Intel Atom Z-Serie
Intel Celeron J-Serie
Intel Celeron N-Serie
Intel Pentium J-Serie
Intel Pentium N-Serie

So funktionieren die Angriffe

Ob ein Windows-Rechner überhaupt anfällig für Angriffe ist, lässt sich mithilfe der Powershell prüfen.
Vergrößern Ob ein Windows-Rechner überhaupt anfällig für Angriffe ist, lässt sich mithilfe der Powershell prüfen.

Die Sicherheitslücken betreffen die Art und Weise, wie der Prozessor mit Daten umgeht. Es geht hierbei um eine Technik, die „Speculative Execution“ genannt wird. Sie dient dazu, die Verarbeitung von Befehlen im Prozessor zu beschleunigen. Zu diesem Zweck berechnet die CPU bereits einige Daten, bevor das vom System gefordert wurde. Diese spekulative Ausführung von Befehlen geschieht in einem besonderen, eigentlich geschützten Bereich der CPU. Im Falle von Meltdown ist das Auslesen dieses geschützten Kernelspeichers möglich. Im Fall von Spectre können nicht autorisierte Anwendungen Lesezugriff auf Informationen anderer Anwendungen im geschützten Kernelspeicher erlangen. Dort können sie zum Beispiel Passwörter oder andere wertvolle Informationen abgreifen. Spectre hebelt also die Speichertrennung zwischen einzelnen Anwendungen aus.

So prüfen Sie Ihr System

Spectre Meltdown CPU Checker prüft, ob ihr Rechner verwundbar ist.
Vergrößern Spectre Meltdown CPU Checker prüft, ob ihr Rechner verwundbar ist.

Microsoft bietet ein Prüfwerkzeug für die Powershell an, das Ihnen detaillierte Informationen über die Lücken in Ihrem System geben kann. Starten Sie dafür die Powershell über „Windows-Symbol –› Windows Powershell –› Windows Powershell“ mit einem Rechtsklick und der Wahl von „Als Administrator ausführen“. Zunächst geben Sie bitte den Befehl

Install-Module SpeculationControl  

ein und bestätigen zweimal mit der J-Taste. Anschließend geben Sie nacheinander die folgenden Kommandos ein:

$SaveExecutionPolicy = Get-ExecutionPolicy
Set-ExecutionPolicy RemoteSigned -Scope Currentuser
Import-Module SpeculationControl
Get-SpeculationControlSettings  

Der letzte Befehl zeigt detailliert die Anfälligkeit Ihres Systems an. Zum Zurücksetzen der Execution-Policy auf die originalen Einstellungen verwenden Sie den Befehl

Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser  

Wer es einfacher haben will, nutzt das Tool Ashampoo Spectre Meltdown CPU Checker (kostenlos, für Windows 7, 8, 10). Es startet ohne Installation und zeigt an, ob Ihr System für eine der beiden Lücken anfällig ist. Details zu den Lücken verrät das Tool nicht. Inspectre überprüft ebenfalls, ob ein System von den Prozessor-Bugs Spectre und Meltdown betroffen ist, wobei die Hardware und auch Windows untersucht werden. Dazu bietet das Programm die Möglichkeit, die beiden Patches zu deaktivieren, zum Beispiel um dadurch Performance-Einbußen zu prüfen.

Rampage: Sicherheitslücke bedroht alle Android-Geräte der letzten 6 Jahre

So schützen Sie Ihre Geräte

Inspectre von Steve Gibson prüft Windows-PCs auf die Sicherheitslücken Spectre und Meltdown.
Vergrößern Inspectre von Steve Gibson prüft Windows-PCs auf die Sicherheitslücken Spectre und Meltdown.

Um nunmehr die Meltdown- und Spectre-Lücken möglichst sicher zu schließen, benötigen Sie Updates für das Betriebssystem, die Browser und die CPU-Firmware, die in den allermeisten Fällen mittels Bios-/ Uefi-Update erhältlich ist.

Windows: Microsoft hat für Windows 10 ziemlich schnell einen Patch zur Verfügung gestellt und per Update verbreitet. Diese Patches eignen sich allerdings nur für die zu diesem Zeitpunkt aktuelle Version von Windows 10, also für das Fall Creators Update (Version 1709). Als daraufhin im Frühjahr mit dem April-Update die nächste Version ausgerollt wurde (Version 1803), war die Ernüchterung groß. Denn der Spectre-/ Meltdown-Schutz wurde weder in das Betriebssystem integriert – dies soll erst in späteren Versionen erfolgen – noch stellte Microsoft seinen Benutzern Microcode-Patches für die aktualisierten Rechner zur Verfügung. Die bisherigen Patches ließen sich in der Version 1803 nicht mehr installieren. Und auch den regulären folgenden Patchday ließ Microsoft verstreichen. Erst später standen neue Patches für das April-Update von Windows 10 bereit – allerdings wiederum an einer anderen Stelle des Microsoft- Update-Katalogs. So musste man als Windows-Anwender also zumindest anfänglich die genaue Adresse kennen sowie das Microcode-Update von dort manuell installieren.

Für Benutzer früherer Windows-Versionen bleibt nur der Rat, die Firmware der Hauptplatine zu aktualisieren (siehe den Online-Ratgeber ). Waren Anwender mit AMD-CPUs zu Beginn vom Update ausgenommen, so gibt es seit dem 23. Januar 2018 eine Aktualisierung. Spezifische Informationen zu AMD-Geräten finden Sie in der Sicherheitsempfehlung von AMD hier . Das Update für Windows lieferte allerdings nach ersten Informationen lediglich Schutz gegen zwei der drei Lücken. Die Variante 2 (CVE-2017-5715, Spectre) blieb von Microsoft zunächst einmal ungepatcht und sollte über ein Bios-Update für die CPU verriegelt werden. Mit dem Update KB4090007 stellte Microsoft ein Intel-Microcode-Update für Windows 10 1709 (Fall Creators Update) mit Intel-Skylake-CPUs zum Download bereit. Ein zusätzliches Bios-Update sollte auf diese Weise überflüssig werden.

Für Windows 10 Version 1803 steht das Microcode-Update zum kostenlosen Download bereit.
Vergrößern Für Windows 10 Version 1803 steht das Microcode-Update zum kostenlosen Download bereit.

Browser: Sämtliche wichtige Browser-Hersteller haben seit Januar entsprechende Updates veröffentlicht, welche das Ausnutzen einer Spectre-Lücke verhindern. Google Chrome ab Version 64, Firefox ab Version 57, Opera ab Version 77 sowie Microsoft Internet Explorer und Edge sind sicher. Ein Check auf der Webseite des chinesischen Sicherheitsanbieters Tencent Xuanwu Lab bringt Gewissheit.

Bios: Intel hat einige Firmware-Updates als sogenannte Microcode-Updates fertiggestellt. Sie erhalten diese in der Regel über den Hersteller Ihrer Hauptplatine oder Ihres PCs als Bios-/Uefi-Update.

Whatsapp: Schwere Sicherheitslücke entdeckt

Apple: Sicherheits-Updates für iOS & MAC-OS

Den Sicherheitslücken Meltdown und Spectre sind auch die Apple-Betriebssysteme ausgeliefert, da Angreifer direkt die Schwächen der CPUs nutzen. Doch kann man mit Patches in den Betriebssystemen dieses Risiko minimieren. Apple hatte bereits in iOS 11.2 und Mac-OS 10.13.2 entsprechende Patches eingebaut. Offen blieb eine Flanke in Javascript von Safari, über die sich Spectre ausnutzen ließ. Schon mit dem System-Update auf iOS 11.2.2 hatte Apple diese Lücke für iOS-Geräte geschlossen. Mac-Anwender bekamen das Supplemental-Update für Mac-OS 10.13.2 , das die gleiche Sicherheitsvorkehrung vornahm.

Der wesentliche Unterschied der Updates: Während iOS 11.2.2 das Webkit sichert, auf das auch alle anderen Browser zugreifen müssen, gilt das Update für Mac-OS 10.13.2 eben nur für den eigenen Browser. Über andere Browser ist Spectre sehr wohl noch ausnutzbar, solange diese nicht aktualisiert wurden. Mit den großen inzwischen erschienenen Updates auf iOS 12 (iPhone und iPad) sowie Mac-OS 10.14 Mojave wurden alle bekannten Sicherheitslücken geschlossen.

Updates bremsen das System

Die demnächst erscheinenden Sicherheits-Updates könnten die Leistung der Intel-Prozessoren reduzieren. Somit könnten die gepatchten Intel-Rechner also etwas langsamer laufen. Intel gibt die möglichen Performance-Einbußen mit einem Wert zwischen 0 und 30 Prozent der vor dem Patch vorhandenen Leistung an. Laut Intel würden „durchschnittliche“ PC-Nutzer die Performance-Verluste nicht bemerken.

Ein etwas genaueres Bild zeichnet da Microsoft. Aufatmen können zunächst einmal Windows-10-Nutzer, die Skylake- oder Kabylake- CPUs von 2016 oder neuere Prozessoren haben. Diese müssen laut Microsoft nur Verlangsamungen im einstelligen Prozentbereich hinnehmen. Wer Windows 10 im Einsatz hat und CPUs von 2015, wie zum Beispiel Haswell, oder CPUs nutzt, die noch älter sind, muss sich eventuell auf spürbare Leistungseinbrüche einstellen.

Microsoft spricht davon, dass einige dieser Nutzer etwas vom Performance-Verlust bemerken dürften, jedoch nicht alle. Wer hingegen Windows 8 oder Windows 7 und eine ältere CPU benutzt, dürfte ziemlich sicher eine Verlangsamung bemerken. Welchen Prozessor Sie haben, steht in der Systemsteuerung unter „System“. Eine Jahreszahl steht dort allerdings nicht – diese finden Sie durch eine Google-Suche jedoch schnell heraus. Windows-Server kommen unabhängig von der CPU mit den wohl schlimmsten Einbußen daher, was die Leistung angeht, so warnt Microsoft. Mittlerweile berichten einige Serverbetreiber von Leistungseinbrüchen. Und manche Benchmark-Tests scheinen anzudeuten, dass zumindest Endanwender und insbesondere auch Gamer unter Windows 10 kaum Leistungseinbußen zu befürchten haben. Auf Linux-PCs soll es einen Performance-Verlust von bis zu fünf Prozent geben – das betrifft vor allem Server.

Linux: Kernel 4.15 schützt vor Meltdown und Spectre

Die Linux-Entwickler haben in den Kernel mehrere Patches eingebaut, und die meisten Linux-Distributoren liefern inzwischen aktualisierte Kernel aus, die gegen die im Artikel genannten Sicherheitslücken und Gefahren schützen.

Da die Updates die Beschleunigungsmechanismen der CPUs beeinflussen, ist mit Leistungseinbußen zu rechnen. Auf einem Desktop-Rechner sollten diese kaum spürbar sein; Server mit zahlreichen parallelen Zugriffen sind hingegen stärker betroffen. Ubuntu 18.04 mit dem aktuellen Kernel enthält bereits die erforderlichen Schutzmechanismen vor den beiden CPU-Bugs Meltdown und Spectre.

So unterziehen Sie Linux einem Spectre- & Meltdown-Check: Öffnen Sie ein Terminal-Fenster und führen Sie anschließend nachfolgende Befehlszeile aus:

cat /proc/cpuinfo

Wenn eine Zeile wie „bugs: cpu_meltdownspectre_v1 spectre_ v2“ auftaucht, ist der Prozessor betroffen. Ob der Linux-Kernel bereits abgesichert ist, ermitteln Sie über diese drei Befehle:

cd ~
wget https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdownchecker.sh
sudo sh spectre-meltdown-checker.sh  

Das mit „wget“ heruntergeladene Shell-Script „spectre-melt down-checker.sh“ führt im ersten Schritt einen Hardwarecheck durch. Ist auf dem überprüften Rechner noch kein Microcode-Update erfolgt, so lautet die Ausgabe hinter „Vulnerable to Variant [X]“ dreimal „Yes“. Die drei Kernel-Tests sollten allerdings jeweils „Status: NOT VULNERABLE“ lauten. Andernfalls überprüfen Sie bitte, ob auf Ihrem System alle Linux-Updates installiert sind. Mit der Zeile

dmesg | grep microcode

finden Sie heraus, ob Microcode-Updates für die CPU installiert sind. Sollte das Datum in der Ausgabe weiterhin vor Januar 2018 liegen, sind keine vorhanden, weil Intel oder AMD bisher keine Daten verfügbar gemacht haben.

0 Kommentare zu diesem Artikel
2386863