Immer häufiger werden Sicherheitslücken in Software entdeckt und in den Medien thematisiert. Die am 04. Januar kommunizierte Schwachstelle in Hardware, genauer: in CPU-Prozessoren mehrerer Hersteller, verunsichert viele Anwender.
An dieser Stelle halten wir Sie mit regelmäßigen Updates über die aktuelle Lage auf dem Laufenden.
UPDATE, 04. Mai 2018
Die als Meltdown und Spectre bekannt gewordenen Sicherheitslücken scheinen nur die berühmte Spitze des Eisberges zu sein.
Das Computer-Magazin c’t veröffentlichte gestern eine erste Meldung zu acht neuen Sicherheitslücken. Vier davon werden dort sogar als „kritisch“ bezeichnet. Sie sollen die Möglichkeit bieten, Angriffe über die Grenzen einer virtuellen Maschine hinweg zu führen. Des Weiteren sollen sie vergleichsweise einfach zu nutzen sein. Detailliertere Informationen wurden bisher nicht veröffentlicht.
Noch gibt es keine offiziellen Namen für die neuen Lücken. C’t hat sie daher als „Spectre Next Generation“ (Spectre-NG) bezeichnet. Da die neuen Löcher angeblich ebenfalls Schwachstellen in der CPU Architektur ausnutzen, scheint der Name recht zutreffend.
- Intel will eng mit seinen Partnern zusammenarbeiten. Allen voran mit Micrsoft um die Verteilung von Chip-Updates zu beschleunigen.
- AMD prüft intern noch die vorliegenden Informationen.
- ARM hat auf die Anfrage von c’t nicht reagiert.
Die generelle Empfehlung von Intel laute bisher, verfügbare Updates möglichst zeitnah zu installieren.
Wir behalten auch diese Entwicklung im Auge und informieren über wichtige Neuigkeiten.
UPDATE, 05. April 2018
Die Sicherheitsupdates aus Januar und Februar haben bei der 64 Bit Variante von Windows 7 und Windows Server 2008 R2 eine neue Lücke geöffnet. Die Betriebssysteme Windows 8.1 und Windows 10 sind von dieser Lücke nicht betroffen. Microsoft hat diese Lücke mit Updates vom März Patchday wieder geschlossen.
Während Intel inzwischen zahlreiche Prozessoren gegen Meltdown und Spectre abgesichert hat, ist es unterschiedlichen Forschergruppen gelungen, eine weitere Sicherheitslücke (BranchScope) in den Chipreihen Skylake, Haswell und Sandy Bridge nachzuweisen. Intel hat diese Lücke bereits bestätigt. Das Unternehmen geht davon aus, dass die Maßnahmen gegen Spectre 2 auch gegen BranchScope wirken. Des Weiteren seien die Angriffsszenarien sehr komplex und bisher nicht durch Cyberkriminelle genutzt worden.
Für Apple Geräte steht seit ein paar Tagen ebenfalls ein neues Update bereit. Die Version 11.3 kann von Ihnen geladen und installiert werden. Sollten Sie bisher nicht automatisch dazu aufgefordert worden sein, können Sie diesen Prozess auch manuell anstoßen. Sie finden die Option in den Einstellungen unter: Allgemein - Softwareupdates.
Die von Cisco bereitgestellten Updates werden von uns am nächsten Wartungswochenende auf den Testumgebungen installiert. Die produktiven Systeme sollen am darauffolgenden Wartungswochenende gepatcht werden.
STATUSÜBERSICHT DER UPDATES
Hersteller | Patch verfügbar | Hinweis |
Android | Version 8.1 | Google liefert das Update für Nexus- und Pixel Geräte. |
iOS | Version 11.3 | Verfügbar für alle Geräte, die zur Version iOS 11 kompatibel sind |
Intel | Im Rollout | Updates für Prozessoren der sechsten, siebten und achten Generation ausgeliefert. |
Cisco | In Auslieferung | Update der Itebo Testsysteme am nächsten Wartungswochenende. |
VM Ware | Zurückgezogen | |
MS Windows | Neue Patche | März Patch mit Microcode Updates für Windows 10. |
Debian GNU/Linux | teilweise | Fix für Meltdown |
Red Hat Enterprise Linux | RHEL 5, 6, 7 | Kernel-Updates verfügbar |
SUSE | SLES 11, 12 | Kernel-Updates für SLES 12 SP1/SP2/SP3, SLES 12 GA und SLES 11 SP4 verfügbar Kernel-Updates für SLES 11 SP3 teilweise verfügbar |
Bei Fragen und Unsicherheiten wenden Sie sich vor der Installation der Sicherheitsupdates bitte an den Service Desk der ITEBO-Unternehmensgruppe unter 0541 9631-333.
UPDATE, 19. MÄRZ 2018
Intel hat inzwischen Microcode-Updates für alle Prozessoren der vergangenen fünf Jahre veröffentlicht. Die Auslieferung an die Endverbraucher gestaltet sich jedoch weiterhin schwierig. Vielfach lassen Bios Updates noch auf sich warten.
Microsoft hat diesen Umstand erkannt und springt in die Bresche, um Anwendern die benötigten Fixe zur Verfügung zu stellen. Das aktuelle März Patch enthält nach Herstellerangaben die Microcode-Updates für Intel Prozessoren der sechsten, siebten und achten Generation. Auch bekannt unter den Namen Skylake, Kaby Lake und Coffee Lake.
Da dieser Patch nicht für alle Systeme vorgesehen ist, wird er nicht automatisch verteilt. Er muss manuell über den Windows Update Katalog heruntergeladen und installiert werden. Voraussetzung für diesen Patch ist das Windows 10 1709.
In der zweiten Hälfte des Jahres 2018 will Intel die ersten Prozessoren auf den Markt bringen, die mit neuen Schutzmechanismen gegen Meltdown und Spectre versehen sind. Dabei nennt Intel die Server Prozessoren Xeon SP der Cascal Lake Serie sowie Prozessoren der achten Core-i Generation.
Update, 13. März 2018
In den vergangenen Tagen veröffentlichte Intel Microcode-Updates für die Prozessor-Generationen Sandy Bridge und Ivy Bridge. Sie stehen Intels Partnern (für Xeon-Server-Prozessoren und Core-Prozessoren für Notebooks und Desktops) damit zur Verfügung.
Des Weiteren stehen überarbeitete Patche für Haswell Server EX Xeon, Haswell ULT und Broadwell Server EX Xeon bereit. Alle Microcode-Updates werden derzeit ausschließlich durch die Hersteller von PCs und Mainboards in Form von Firmware- bzw. BIOS/UEFI-Updates bereitgestellt.
Microsoft hat inzwischen auch Patche für die 32Bit Version von Windows10 veröffentlicht.
Die ITEBO-Unternehmensgruppe testet weiterhin die verschiedenen Konstellationen. Die bisherigen Ergebnisse bezüglich der Performance sind nicht eindeutig, Systemabbrüche oder unerwartetes Verhalten konnten wir nicht mehr feststellen.
Update, 2. März 2018
Mit dem Update KB4090007 veröffentlicht Microsoft heute einen neuen Patch für Windows. Dieser enthält das Intel Microcode Update für einige Skylake Geräte (Skylake H/S, Skylake U/Y & Skylake U23e).
PC’s auf denen Windows 7 installiert ist, und die nur den Windows Defender als Virenschutz verwenden, profitieren nicht von den bisher veröffentlichen Sicherheitsupdates. Der Windows Defender verhindert, dass die Patche installiert werden. Hier empfiehlt es sich, auf einen „externen“ Virenschutz umzusatteln.
Intel kündigte kürzlich an, man habe die eigenen Testläufe abgeschlossen. Nun kann damit begonnen werden, Firmware Updates für neuere CPU’s freizugeben.
Für Apple Geräte steht seit ein paar Tagen ebenfalls ein neues Update bereit. Die Version 11.2.6 kann von Ihnen geladen und installiert werden. Sollten Sie bisher nicht automatisch dazu aufgefordert worden sein, können Sie diesen Prozess auch manuell anstoßen. Sie finden die Option in den Einstellungen unter: Allgemein – Softwareupdates
Update, 19. Februar 2018
Intel hat in den vergangenen Tagen Microcode-Updates an Hardware Firmen ausgeliefert. Die Updates sind für eine jüngere Generation von Intel-Chips (ab Skylake). Diese Updates werden den Endanwender in Form von Firmware und BIOS Update über die jeweiligen Anbieter erreichen. Allerdings haben einige Motherboard-Anbieter wie Asus, MSI und Gigabyte angekündigt, lediglich BIOS-Updates für Prozessoren der sechsten (Skylake), siebten (Kaby Lake) und achten (Coffee Lake) Generation zu entwickeln. Ältere Prozessoren werden nach derzeitigen Informationen keine Updates erhalten.
Das auf Malware spezialisierte Unternehmen AV-Test hat bisher 139 Angriffsvarianten identifiziert. Bei den meisten dieser Viren soll es sich laut Andreas Marx von AV-Test um Varianten der Proof-of-Concepts handeln. Offensichtlich sind die Malware-Autoren noch in der Entwicklungsphase und testen die Nutzbarkeit der Schwachstellen für Angriffe.
Da Browser als eine Angriffsmöglichkeit für Spectre identifiziert sind, empfiehlt es sich, als simple Maßnahmen zur Verringerung der Angriffsmöglichkeiten, den Browser in Arbeitspausen zu schließen und den Rechner für die Zeit, in der er nicht gebraucht wird, auszuschalten.
UPDATE, 08. Februar 2018
Intel stellt erneut ein BIOS-Updates mit Microcode-Updates bereit. Zumindest für einige Mini-PC’s mit Apollo Lake Prozessoren. Für andere Systeme räumt sich Intel mehr Zeit für Updateinformationen ein. Bis zum 15.02.2018 soll es keine neuen Informationen dazu geben.
Unterdessen tauchen die ersten Anwendungen auf, die die Sicherheitslücken zu nutzen versuchen. Bislang scheint es sich jedoch eher um Experimente als um ernsthafte Angriffe zu handeln. Dieser Umstand verdeutlich jedoch, dass es nicht ratsam ist, sich in Sicherheit zu wiegen.
AMD hält sich ebenfalls bedeckt und gibt nicht bekannt, wann mit Updates gerechnet werden kann. Die Hersteller von Android Smartphones und Tablets äußern sich meist gar nicht zu dem Thema.
UPDATE, 31. Januar 2018
Im Rahmen der Präsentation der Quartalszahlen hat Intel angekündigt, mit der nächsten Chip Generation Prozessoren bereit zu stellen, die gegen Angriffe durch Meltdown und Spectre geschützt sind. Wann diese auch den Markt kommen wurde jedoch nicht bekannt.
Derweil hat Microsoft außer der Reihe einen Patch veröffentlicht, welcher die Schutzvorkehrungen gegen die CPU-Lücke Spectre Variant 2 deaktiviert. Das geschieht auf Anraten von Intel, da bisherige CPU-Microcode-Updates Systeme instabil laufen lassen können.
Neue Patches lassen weiterhin auf sich warten. Dieser Umstand lässt vermuten, dass das nächste Release ausgereifter und stabiler wird als die erste Generation. Wir behalten die Entwicklungen weiter im Blick.
UPDATE, 26. JANUAR 2018
Bereits im letzten Statusupdate haben wir berichtet, dass einige Hersteller ihre eilends verteilten Hard- Und Softwareupdates zurückgezogen haben. Diese Gruppe ist weiter angewachsen. Für uns bedeutet dies, dass die Testsysteme wieder zurückgesetzt werden müssen.
Verlässliche Aussagen darüber, wann die nächste Generation Patche geliefert wird, liegen zurzeit nicht vor. Wir behalten die Entwicklung weiter im Blick und informieren Sie an dieser Stelle regelmäßig über neue Erkenntnisse.
Das iOS Update 11.2.5 (z.B. für iPad‘s) steht inzwischen bereit und kann installiert werden. Sollten Sie bisher nicht automatisch dazu aufgefordert worden sein, können Sie diesen Prozess auch manuell anstoßen. Sie finden die Option in den Einstellungen unter: Allgemein – Softwareupdate.
Für die mit Android betriebenen Geräte sind die Aussagen nicht so deutlich. Im Googlewatchblog finden Sie eine inoffizielle Übersicht, welcher Hersteller welche Produktlinie updaten will.
Update, 23. Januar 2018
In den vergangenen Tagen wurde weiter recherchiert und bewertet. Aus Sicht der ITEBO-Unternehmensgruppe ist die Bedrohung durch Meltdown und Spectre hinsichtlich des Datenschutzes als bedenklich einzustufen.
Eine generelle Gefährdung der Systeme durch Dritte ist jedoch im Moment nicht zu erwarten. Einerseits sind noch keine konkreten Schadprogramme bekannt, andererseits ist, um die Sicherheitslücken ausnutzen zu können, ein direkter Zugriff auf die Systeme erforderlich. Über diesen verfügen nur eine begrenzte Anzahl an Anwendern.
Aktuell mehren sich die Meldungen, dass Updates für Hard- und Software von den Herstellern fehlerbedingt zurückgenommen werden. Es bleibt abzuwarten und weiter zu testen, wann es für die einzelnen Komponenten zuverlässige Versionen geben wird. Diese Entwicklungen behalten wir stetig im Blick.
Für Ihre mobilen Endgeräte wie Smartphones und Tablets sollten Sie auf verfügbare Updates achten und diese zeitnah einspielen. Apple hat ein iOS Update angekündigt, bei Android sind Sie auf die jeweiligen Hersteller angewiesen. Hier sollten Sie verstärkt auf Updates für Apps achten. Halten Sie vor allem Ihre verwendeten Browser möglichst aktuell.
Update, 17. Januar 2018
Inzwischen ist bekannt, dass die am meisten gebräuchlichen Prozessoren der Firmen Intel, ARM und AMD betroffen sind. Intel hat dazu eine Liste der betroffenen Prozessoren veröffentlicht.
Die Betriebssystemhersteller haben mittlerweile reagiert und bieten Updates für ihre Systeme.
Von Microsoft wurden Windows-Updates herausgegeben, allerdings bestehen bei einigen Antivirenprogrammen Inkompatibilitäten. Hinzu kommen teilweise Performance-Einbußen und Systemabstürze. Für Clients empfiehlt Microsoft, die Sicherheitsupdates zu installieren. Für Server empfiehlt Microsoft nach Abwägung der Risiken, eine Installation der Sicherheitsupdates. Hier empfiehlt sich ein gestaffeltes Vorgehen. Zunächst sollten die Updates in Testgruppen eingespielt und getestet werden. Mit diesem Wissen sollte eine bewusste Entscheidung für oder gegen ein Update der Produktivumgebung getroffen werden.
Orignalmeldung
Die Sicherheitslücke in CPU-Prozessoren ermöglicht nach aktuellen Erkenntnissen zwei verschiedene Angriffsvarianten: "Meltdown" (Kernschmelze) oder "Spectre" (Geist). Beide Szenarien versuchen sensible Daten auszulesen. Die genaue Funktionsweise der Hacks erklärt die Seite https://meltdownattack.com/ (auf Englisch verfügbar). Betroffen sind nach aktuellen Informationen Prozessoren der Firmen INTEL, AMD und ARM.
Diese haben bereits erste Updates für die Sicherheitslücke herausgegeben. Die tatsächliche Bedrohungslage lässt sich jedoch nur schwer einschätzen.
Die Stabilität und Sicherheit unserer Systeme und der Kundendaten hat für die ITEBO-Unternehmensgruppe oberste Priorität. Wir handeln daher, wie in solchen Situationen üblich, nach bewährtem Verfahren:
Analyse der aktuellen Situation:
- Welche Software (Hardware) ist betroffen?
- Welche Angriffswege werden genutzt?
- Bei welchen Kunden/wo im Rechenzentrum ist die betroffene Software (Hardware) im Einsatz?
Einspielen von Updates und Patches:
- Aktualisierung der vorhandenen Software auf die neueste Version (nach Vorgaben der Hersteller)
Die bisher verfügbaren Updates zum Schließen der Sicherheitslücke wurden in den Testsystemen installiert, um eventuelle Performanceverluste zu analysieren und Gegenmaßnahmen zu ermöglichen. Die Installation der Updates in die Echtsysteme erfolgt zeitnah.
Weitere Updates werden nach Bereitstellung durch die Hersteller schnellstmöglich durchgeführt.
Bei Fragen wenden Sie sich gern an Kim Schoen und Frank Wehmann:
Kim Schoen
Servicebereichsleiter Datenschutz und IT-Sicherheit
0541 9631-252
schoen@itebo.de
Frank Wehmann
Servicebereichsleiter Rechenzentrum
0541 9631-200
wehmann@itebo.de
