:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/8a/c9/8ac992219c3dea0e3a61db00f9cf4a94/0114320983.jpeg "Bundesinnenministerin Nancy Faeser (SPD) möchte unabhängig vom Spionage-Thema auch eine zu große Abhängigkeit von chinesischen 5G-Komponenten verhindern. (Bild: Artinun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Microarchitectural Data Sampling aka ZombieLoad, RIDL und Fallout Intel bestätigt Sicherheitslücken in CPUs
Intel bestätigt vier von Meltdown inspirierte Angriffsmöglichkeiten auf CPUs. Die haben größtenteils mittelschwere Security-Auswirkungen. Programmschnipsel und Microcode Updates sollen die als MDS, Zombieload, RIDL oder Fallout bezeichneten Probleme eindämmen.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Mit Meltdown haben Sicherheitsforscher Anfang 2018 offenbar die Büchse der Pandora geöffnet – oder eine „völlig neue Gattung von [...] Angriffen“ inspiriert, wie es im jetzt veröffentlichten Paper „ZombieLoad: Cross-Privilege-Boundary Data Sampling“ (PDF) heißt. Verfasst wurde das Dokument von Experten der Universität Graz, dem Worcester Polytechnic Institute, der Katholischen Universität Leuven sowie dem Security-Unternehmen Cyberus Technology. Neben dem darin beschriebenem Ansatz Zombie hat Intel nun weitere als niedrig bis mittelschwer eingestufte Schwachstellen bestätigt, bei denen Programme unter Umständen Rückschlüsse auf fremde Daten ziehen können.
:quality(80)/images.vogel.de/vogelonline/bdb/1337500/1337564/original.jpg "„Meltdown“ heißt auf deutsch „Kernschmelze“. (3dkombinat - stock.adobe.com)")
Meltdown und Spectre
Kernschmelze der CPU-Sicherheit
Die insgesamt vier Techniken fasst Intel unter dem Oberbegriff Microarchitectural Data Sampling (MDS) zusammen. Der Ansatz zähle seinerseits wiederum zu den „speculative execution side channel vulnerabilities“.
Bei den beschriebenen Side-Channel-Szenarien könnte Softwareprogramme nicht gelöschte oder noch vorhandene Daten anderer Prozesse aus verschiedenen Pufferspeichern des Prozessors ausspähen. Der Level-1-Datencache (L1D) ist hiervon nicht betroffen, dafür aber kleinere und häufiger überschriebene Datenbereiche.
Das veranlasst Intel zur Annahme, dass MDS-Angriffe auf spezifische Speicheradressen vergleichsweise schwierig durchzuführen seien. Um erfolgreich zu sein. müssten Angreifer eine große Datenmenge sammeln und analysieren.
Nichtsdestotrotz existiert auf GitHub bereits Code, um MDS auszunutzen. Per Video demonstrieren Sicherheitsforscher zudem, wie sie über einen gesicherten ToR-Browser in einer virtuellen Maschine angreifen und aufgerufene Webseiten nachvollziehen können.
Im Detail geht es bei MDS um folgende Schwachstellen:
- CVE-2018-12126: Microarchitectural Store Buffer Data Sampling (Einstufung: mittelschwer, 6.5)
- CVE-2018-12130: Microarchitectural Fill Buffer Data Sampling Medium (Einstufung: mittelschwer, 6.5)
- CVE-2018-12127: Microarchitectural Load Port Data Sampling (Einstufung: mittelschwer, 6.5)
- CVE-2019-11091: Microarchitectural Data Sampling Uncacheable Memory (Einstufung: niedrig, 3.8)
Laut Intel wurden die Sicherheitslücken zuerst von eigenen Mitarbeitern und Partnern entdeckt. Davon unabhängig seien die Schwachstellen jedoch auch von externen Forschern an den Chiphersteller herangetragen worden. Das erklärt auch die vielfältigen Bezeichnungen. Neben den üblichen CVE-Einträgen existieren auch die alternativen Bezeichnungen Zombieload, RIDL (Rogue In-Flight Data Load) sowie Fallout.
Intel hat das Thema selbst umfassend dargestellt, Eine Übersicht zu den externen Quellen und Papers gibt es auf der Webseite cpu.fail.
Betroffene Prozessoren
Wie bisher beschrieben sind von der Schwachstelle Intel-CPUs betroffen. Mitbewerber AMD sind bislang noch keine erfolgreichen Exploits auf seine Systeme bekannt. Zudem glaubt der Hersteller mit seinen „hardware protection checks“, immun gegen die durch Fallout und RIDL beschriebenen Angriffe zu sein.
Auch Intel will einige aktuelle und künftige Prozessoren bereits vor den Attacken geschützt haben. In Hardware wurden die Angriffsflächen bereits ausgemerzt bei ausgewählten Modellen der achten und neunten Generation der Intel Core Prozessoren sowie der zweiten Generation der Reihe Intel Xeon Scalable. Eine Übersicht von MDS betroffener CPUs gibt es online.
Abwehr und Gegenmaßnahmen
Für betroffene Systeme stellt Intel gemeinsam mit OEMs Microcode Updates bereit. Diese sollen Hand in Hand mit Updates bei Betriebssystemen und Hypervisoren erfolgen. Dabei zu erwartende Performanceeinbußen sollen auf Client-PCs nahezu vernachlässigbar sein; bei bestimmten Rechenzentrumsanwendungen kann das allerdings anders aussehen.
Zudem hat Intel Codebeispiele veröffentlicht, mit denen Entwickler Puffer überschreiben und so ein ungewünschtes Auslesen durch nicht berechtigte Prozesse vermeiden können. Die Hilfestellungen funktionieren jeweils mit folgenden Architekturen:
- Nehalem, Westmere, Sandy Bridge, Ivy Bridge;
- Skylake, Kaby Lake, Coffee Lake;
- Atom (Silvermont und Airmont)
- Knights Landing und Knights Mill.
Apple, Linux, Microsoft
Microsoft hat Zombieload bereits mit dem Mai-Patchday adressiert. Auch die Entwickler des Linux-Kernels haben sich des Problems bereits angenommen.
:quality(80)/images.vogel.de/vogelonline/bdb/1562200/1562274/original.jpg "Microsoft hat zum Mai-Patchday 2019 Updates für alle unterstützten Windows-Systeme bereitgestellt, sogar für Windows XP, Vista und Windows Server 2003! (gemeinfrei)")
Microsoft Patchday Mai 2019
Wichtige Windows-Updates sogar für Windows XP
Apple empfiehlt Anwendern, Hyper-Threading in den Betriebssystemvarianten macOS Mojave, High Sierra und Sierra komplett abzuschalten. Tests zufolge müssten Anwender damit allerdings mit Performanceeinbrüchen bis zu 40 Prozent rechnen.
Intel rät derweil von solch einem Vorgehen ab. Dabei betont der Hersteller: Ein abgeschaltetes Hyperthreading allein garantiere keinen Schutz gegen MDS.
(ID:45926547)
:quality(80)/p7i.vogel.de/wcms/c1/c1/c1c1b694f14b5cc4e16c127af7822407/0106320479.jpeg "Unter dem Namen ÆPIC Leak haben Forscher eine Schwachstelle in aktuellen Intel-CPUs entdeckt, über die es ihnen sogar möglich war, kryptografische Schlüssel zu erbeuten. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7e/7c/7e7c17bf9018719a0efbc6d436d490b2/0113384417.jpeg "Angreifer kombinieren immer wieder verschiedene Schwachstellen miteinander, um so Systeme zu kompromittieren und Unternehmensdaten zu stehlen. (Bild: oz - stock.adobe.com)")