News Meltdown & Spectre: Details und Bench­marks zu den Sicherheits­lücken in CPUs

[Iscaran]

Danke @xexes/iscarian, dass ihr mit der Diskussion das Niveau hier angehoben habt! GErade die Zusammenfassung der Exploits under Wahrscheinlichkeit sollte Beruhigung genug für die meisten sein, durchzuatmen und nicht verrückt machen zu lassen.

Danke !

Mal ganz blöd gefragt: Würde ein Memory Wiper nicht etwas nützen? Also ein Programm, was man unmittelbar nach Benutzung kritischer Software ausführt? So als die Holzhammer-Methode, aber für paranoide Nutzer mit ungepatchtem System?

Die Holzhammer-Methode ist in einem der Paper zu Spectre/Meltdown glaub ich beschrieben worden als "Patch" Möglichkeit. Müsste aber dennoch übers OS oder als microcode eingepflegt werden. Vereinfacht gesagt ist die Idee des Holzhammers den CPU-Cache grundsätzlich bei jedem Systemaufruf in den Kernelspace grundsätzlich danach sofort den gesamten Cache zu flushen.
Der Performance drop damit wäre so ca. 100%. Oder so.

Das schreib ich jetzt aber nur aus dem Kopf raus ohne weitere Recherche. Mag sein dass ich mich da irre.

 

[Toby-ch]

@Vander

Hm wer muss eigentlich bei ESXI Servern Pachten Server Hersteller oder VMware ? Ich kann mir nicht vorstellen das eine CPU Lücke per Software gestopft werden kann? Denke da braucht es mindestens ein BIOS Update oder wie soll das ganze gehen?

 

[alQamar]

Massive Sicherheitslücken in vielen CPUs sorgen für Aufsehen

Das wäre doch mal ein Artikelupdate wert.

Ignoranz von Medion Support (Belgien) bezüglich Spectre / Intel ME (SA0086) Vulnerabilities auf einem Skylake CPU basierenden Computer produziert für Media Markt Belgien
https://www.mediamarkt.be/nl/product/_medion-gaming-pc-akoya-p5294-e-intel-core-i5-6400-1524164.html

Antwort des betroffenen Users:
"I made the phone call but no good they won't help me because the machine is old and I have no warranty any more. [... ] about the bios setup they say don't need to do this because the machine still runs , don't change a winning team."

Just wow! Nochmal zur Erinnerung der PC ist ein paar Tage mehr als 2 Jahre alt. Skylake ist definitiv im Spektrum der Microcode Updates von Intel (6te Generation)

Eine manuelle Installation des Intel ME wurde technisch unterbunden. Spectre scheint für die wohl nur ein Fall der "Garantie" zu sein.

 

[xexex]

Man kann beliebigen Microcode laden, er muss nur veröffentlicht werden. Von Intel gab es dieses Jahr bereits einige Updates.

Der aktuellste Microcode Update ist doch vom 08.01.2018!
https://downloadcenter.intel.com/download/27431/Linux-Processor-Microcode-Data-File

Mal ganz blöd gefragt: Würde ein Memory Wiper nicht etwas nützen? Also ein Programm, was man unmittelbar nach Benutzung kritischer Software ausführt?

Es reicht wenn man seine Kennwörter schlichtweg nicht im Speicher vorhält. Wer seine Kennwortliste in Notepad pflegt, diese ständig im Hintergrund geladen hat und währenddessen auf dubiosen Seiten unterwegs ist, hat es nicht anders verdient.

KeePass hält seine Daten zum Beispiel auch im Speicher verschlüsselt.

While KeePass is running, sensitive data (like the hash of the master key and entry passwords) is stored encryptedly in process memory. This means that even if you would dump the KeePass process memory to disk, you could not find any sensitive data.

Furthermore, KeePass erases all security-critical memory when it is not needed anymore, i.e. it overwrites these memory areas before releasing them.

KeePass uses the Windows DPAPI for encrypting sensitive data in memory (via CryptProtectMemory / ProtectedMemory). With DPAPI, the key for the memory encryption is stored in a secure, non-swappable memory area managed by Windows. DPAPI is available on Windows 2000 and higher. KeePass 2.x always uses DPAPI when it is available; in KeePass 1.x, this can be disabled (in the advanced options; by default using DPAPI is enabled; if it is disabled, KeePass 1.x uses the ARC4 encryption algorithm with a random key; note that this is less secure than DPAPI, mainly not because ARC4 cryptographically is not that strong, but because the key for the memory encryption is also stored in swappable process memory; similarly, KeePass 2.x falls back to encrypting the process memory using ChaCha20, if DPAPI is unavailable). On Unix-like systems, KeePass 2.x uses ChaCha20, because Mono does not provide any effective memory protection method.

For some operations, KeePass must make sensitive data available unencryptedly in process memory. For example, in order to show a password in the standard list view control provided by Windows, KeePass must supply the cell content (the password) as unencrypted string (unless hiding using asterisks is enabled). Operations that result in unencrypted data in process memory include, but are not limited to: displaying data (not asterisks) in standard controls, searching data, and replacing placeholders (during auto-type, drag&drop, copying to clipboard, ...).
https://keepass.info/help/base/security.html

Angriffe auf Systemspeicher sind nun wirklich nichts neues. Es gab bereits unzählige Buffer Overflow Lücken oder Malwareprogramme, die ein wesentlich höheres Angriffspotential aufgewiesen haben.

Die Meltdown/Spectre Forscher haben ja als Beispiel ein Chrome Plugin genommen, dass Kennwörter ebenfalls unverschlüsselt im Speicher vorgehalten hat. Das ist dann Quasi Lücke in der Lücke, wer solche Software verwendet, macht sich nicht erst seit kurzer Zeit angreifbar.

Grundsätzlich hält jede halbwegs mit Verstand programmierte Software unter Windows keine Kennwörter im RAM in unverschlüsselten Form vor. Microsoft selbst hat seit Windows 2000 eine API zur "sicheren" Speicherung solcher Daten. Die Gefahr ist dann oft nur für einen kurzen Augenblick gegeben, wenn man ein solchen Kennwort zum Beispiel über ein unverschlüsseltes Protokoll an ein anderes Gerät im Netzwerk/Web übermittelt. Die schlechte Leistung von Meltdown/Spectre macht es dann aber fast unmöglich einen Speicherbereich genau in diesem Moment auszulesen, während sich dort etwas unverschlüsseltes befindet.

Deshalb habe ich ja bereits bei meiner Diskussion mit Iscaran darauf hingewiesen, dass ich Spectre gefährlicher finde, weil man dort gezielt nach Applikationen Ausschau halten könnte die bekanntlich ihre Daten unverschlüsselt im Speicher vorhalten (schlecht programmierte Plugins/Notepad).

Ein anderes Beispiel ist Banksoftware. HBCI und 2FA gibt es ja nicht erst seit es Meltdown/Spectre gibt. Wer mit einer solchen Software arbeitet, speichert nicht seine TAN Liste unverschlüsselt auf seinem PC (hoffentlich), sondern hat schon seit Jahren bei vielen Banken die Möglichkeit ein externes Gerät mit einer Smartcard und einer eigenen Tastatur zu verwenden. Ein ganz simpler Schutz ist aber bereits 2FA, nur mit einem Kennwort zu einem Online-Bankkonto kommt man heutzutage nicht weit, blöd ist nur das es Leute gibt die ihre Überweisung auf einem Gerät ausführen (Smartphone), auf das sie sich dann eine 2FA PIN zusenden lassen.

Menschliche Dummheit ist bekanntlich leider grenzenlos, da hilft auch der beste Schutz nicht.

 

[yummycandy]

oops, war ja das gleiche. Sry

 

[GGG107]

Ich habe die Lösung:
Wir kaufen uns alle einfach nen Casio.
Dann sind wir auf der sicheren Seite, keine Sicherheitslücken und so

 

[yummycandy]

Btw.

Der VMWare-Treiber wird laut: https://www.heise.de/forum/heise-on...-zwingend-zu-empfehlen/posting-31664908/show/

kurz nach dem Kernel geladen.

17:56:48 Microsoft (R) Windows (R) 6.01. 7601 Service Pack 1 Multiprocessor Free.
17:56:53 Successfully updated microcode on one or more CPUs

 

[Sepp2003]

Da es für meinen Conroe keine Updates mehr geben wird, werde ich für Online-Banking wohl meinen ersten PC, ein ECB85 von AMC

(https://de.wikipedia.org/wiki/ECB85)

reaktivieren müssen.

Der ist sicher nicht "Out-Of-Order" und v.a. völlig unspekulativ in der Verarbeitung. Man kann praktisch jedem einzelnen Maschinenbehl bei der Ausführung zuschauen!

 

[DFFVB]

@Iscaran / xexes

Ich meinte eher so manuell ausgelöstes flushen (ein dicker roter Knopf), aber wenn bspw. KeePass schon genügend absichert, dann kann man ja beruhigt weiterschlafen.. .

Und klar: Das konkrete Gefährdungsszenario hat sich durch die diese relative abstrakte Gefahr nicht so sehr geändert... andere Möglichkeiten bleiben die weitaus größere und realistischere Gefahr... Und ja 2FA ist ne starke Möglichkeit dagegen. Wie schon weiter oben geschrieben: Die Sicherheitsforscher reden die Lücke naturbedingt nicht klein... die Medien erst recht nicht...

 

[kisser]

​Du sagst damit aber nicht, dass der VM Ware Trick doch bei funktioniert?

Ich kann das leider nicht verifizieren, weil ich keine aktuelle CPU habe, für die es passende Microcode-Updates gibt.

Aber mit Start-Typ "Start" statt "System" (no risk no fun ) lädt der Treiber nochmals früher und auch das hat Windows keine Probleme bereitet. Getestet unter Windows 7 Starter 32 Bit auf einem Intel Atom N455 (Asus Netbook).

Ergänzung (11. Januar 2018)

der trick mit vmware und "system" wird nix bringen. der microcode ist zu alt, von 2013.

Das hängt ja wohl vom CPU-Hersteller und der konkreten CPU ab. Für die neueren Intel gibt es jedenfall Microcode-Updates.

 

[Mcr-King]

Glaube die Atom N455 sind nicht betroffen wenn ich mich jetzt nicht irre.

 

[kisser]

Von Meltdown nicht, weil keine out-of-order Architektur.
Das sagt auch das powershell script so (Hardware requires kernel VA shadowing : false)

Für branch target injection ist die Ausgabe des scriptes wie beim meinem Q9400.
Kein HW-Support -> OS patch deswegen disabled

Aber ich werde das mal bei Gelegenheit verifizieren. (Ob sich das was aus dem Speicher auslesen lässt)

 

[BrollyLSSJ]

Hm wer muss eigentlich bei ESXI Servern Pachten Server Hersteller oder VMware ?

Beide. VMware hat die verfügbaren Microcode Updates in ESXi 5.5, 6.0 und 6.5 integriert. Man soll aber, wenn ich es richtig gelesen habe, vorher das BIOS Updaten (mit dem aktuellen Code), bevor man die ESXi Patche installiert.

 

[Banned]

@Mr.Jules: Woher nimmst Du die Infos, dass alte CPUs kein MicroCode Update brauchen?

Also im Google Blog steht:

"Mitigating this attack variant requires either installing and enabling a CPU microcode update from the CPU vendor (e.g., Intel's IBRS microcode), or applying a software mitigation (e.g., Google's Retpoline) to the hypervisor, operating system kernel, system programs and libraries, and user applications."

https://security.googleblog.com/2018/01/more-details-about-mitigations-for-cpu_4.html



Intel sagt:

""For Intel® Core™ processors of the Broadwell generation and later, this retpoline mitigation strategy also requires a microcode update to be applied for the mitigation to be fully effective."


https://newsroom.intel.com/wp-conte...is-of-Speculative-Execution-Side-Channels.pdf



Spectre Variante 2 kann also laut Google durch Microcode-Update oder auf Software-Ebene angegangen werden. CPUs >=Broadwell brauchen für diese Software-Lösung aber noch eine Microcode-Update.




Eine eindeutige Aussage wäre natürlich schöner. Aber das ist das, was ich daraus schließe.

 

[yummycandy]

Eine eindeutige Aussage wäre natürlich schöner. Aber das ist das, was ich daraus schließe.

Genau das war Anstoß zu vielerlei Vermutungen, anscheinend ist aber noch gar nix klar. Heise schreibt dazu:

11. Welche Intel-Prozessoren erhalten Microcode-Updates?

Intel will im Januar für alle innerhalb der vergangenen fünf Jahre hergestellten Prozessoren Microcode-Updates bereitstellen. Was mit älteren Prozessoren geschieht, ist derzeit unklar.

https://www.heise.de/newsticker/mel...ffen-wie-kann-ich-mich-schuetzen-3938146.html

 

[Arcturus128]

Spectre Variante 2 kann also laut Google durch Microcode-Update oder auf Software-Ebene angegangen werden. CPUs >=Broadwell brauchen für diese Software-Lösung aber noch eine Microcode-Update.

Basierend auf den Quellen ist das die richtige Schlussfolgerung und ich würde mir wünschen, dass es so stimmt.

Leider jedoch habe ich gerade einen i5-750 (Lynnfield, 1. Generation) mit aktuellem Win7 64-Bit mittels SpecuCheck getestet und das Ergebnis ist: Branch Prediction mitigations disabled due to no hardware support.

 

[xexex]

Also im Google Blog steht

Ist nur unter Windows irrelevant, da die Lösung von Microsoft gegen BTI (Spectre) auf jeden Fall Microcode Updates benötigt.

 

[inge70]

+---+-------+--------------+---------+------------+---------+---------+----------+--------+--------+
 | # | CPUID |   Platform   | Version |    Date      | Release |     Size  | Checksum | Offset | Latest |
+---+-------+--------------+---------+------------+---------+---------+----------+--------+--------+
| 1 | 806E9 | C0 [6, 7] |    80   | 2018-01-04 |   PRD   | 0x18000 | 6961A256 |  0x0   |  Yes   |
+---+-------+-----------+---------+------------+---------+---------+----------+--------+--------+
| 1 | 806EA | C0 [6, 7] |    80   | 2018-01-04 |   PRD   | 0x18000 | F6263DAE |  0x0   |  Yes   |
+---+-------+-----------+---------+------------+---------+---------+----------+--------+--------+
| 1 | 906E9 | 2A [1, 3, 5] |    80   | 2018-01-04 |   PRD   | 0x18000 | 6AA1DE93 |  0x0   |  Yes   |
+---+-------+--------------+---------+------------+---------+---------+----------+--------+--------+
| 1 | 906EA | 22 [1, 5] |    80   | 2018-01-04 |   PRD   | 0x17C00 | 84CABC68 |  0x0   |  Yes   |
+---+-------+-----------+---------+------------+---------+---------+----------+--------+--------+
| 1 | 906EB |  02 [1]  |    80   | 2018-01-04 |   PRD   | 0x18000 | D24EDB7F |  0x0   |  Yes   |
+---+-------+----------+---------+------------+---------+---------+----------+--------+--------+

wie hast du das ausgelesen bzw wo hast du diese Liste her? Mein Core i3 3217U hat als CPU_ID 306A9

Ergänzung (11. Januar 2018)

@xexex,

genau das ist auch meine Schlussfolgerung, die auch ich hatte und da hoffen nun viele, dass es für die jeweilige CPU irgendwann noch eins gibt. Stellt sich nur die Frage wie man das dann einspielt, wenn es kein Bios-Update seitens der Mainboardhersteller mehr gibt.

 

[Peaky]

Der Starttyp des Treibers steht auf automatisch (weshalb er nach den Start- und Systemgeräten geladen wird):

https://technet.microsoft.com/de-de/library/cc725630(v=ws.11).aspx

Unter Windows 10 kann ich den Treiber nicht finden. Es werden im Geräte-Manager unter den ausgeblendeten Geräten keine Nicht-PnP-Treiber aufgelistet. Wie lässt sich das bewerkstelligen?

 

[bye]

Guten Morgen zusammen,

also über 3000 Komentare allein in diesem Forum und dann noch ein Bug / Exploit der fast alles betrifft.
Ich verstehe das Ganze so:
Es kann etwas, durch eine bestimmte Konstellation direkt aus dem Arbeitsspeicher meines Rechners ausgelesen werden. Darunter könne eingegeben Passwörter oder sonstiges sein was im Arbeitsspeicher eben liegt.
Ich habe jetzt noch nichts bewusst gepatcht und nur die Windows Updates eingespielt, was aber für ein erfolgreiches auslesen aus meinem Speicher im Vorfeld passieren muss, ist dass eine wie auch immer programmierte Software sich über meine IP Adresse, E-Mail Anhang oder eine Website etc. Zugang auf mein System verschaffen muss um dann aktiv zu werden.

Wie erkennt diese Software dann meine Daten aus dem Speicher? Das Passwort wird ja nicht in einen bestimmten Arbeitsspeicherbereich abgelegt, oder?
Daneben liegen ja noch etliche andere Dinge im Arbeitsspeicher ich halte es für klar eine Gefahr aber da müssen viele Umstände zusammenspielen, bevor man wirklich Opfer wird.

Mich ärgert allein, das es diese Lücke wohl schon seit längerem gibt (~ 2012 tauchte als Jahr auf im Netz) und das es seit dem Sommer bekannt wurde und jetzt erst an die Öffentlichkeit kommt und es zwar Patchmöglichkeiten gibt, diese unter Umständen in gewissen Situationen einen enormen Leistungseinbruch bringen kann und bringt.

Wenn man jetzt wie auch ich Hardware besitzt wfür es wohl keine Microcodes geben wird, ich bin mir nicht sicher (X79 Chipsat und Xeon CPU E5 1660) und damit nur Software seitig geschützt werden kann, wie weit es hilft ist fraglich.

Ich hoffe darauf, dass wenigstens die Sicherheitssoftware da mithelfen kann, Firewalls und Schutzprogramme, die so einen Angriff auf mein System erkennen und verhindern. Was bei der Art der Lücke wohl vermutlich schwierig ist.

Ich werde mich weiter belesen und hoffe darauf, dass meine Online Accounts, mein System nicht komplett kompromitiert werden.