Home
News
Sicherheitslücken durch Meltdown und Spectre
08.01.2018

Sicherheitslücken durch Meltdown und Spectre

Die Anfangs Jahr in der Öffentlichkeit bekannt gewordenen Sicherheitslücken Meltdown und Spectre nutzen eine Schwäche direkt in der CPU, was bedeutet, dass fast alle prozessorgesteuerten Systeme betroffen sind. Die terreActive unterstützt ihre Kunden seit 3.1.2018 mit einem Massnahmenplan.

Die Lücken, von denen diverse Chiphersteller (Intel, AMD u.a.) betroffen sind, wurden unabhängig voneinander durch mehrere Organisationen aufgedeckt. Meltdown macht das Auslesen des Kernel-Speichers möglich, während bei Spectre andere Anwendungen Lesezugriff auf den Kernel-Speicher erhalten und Informationen ausspähen können. Über drei Angriffswege können Hacker so Zugriff auf Daten im Prozessor erlangen:

  • CVE-2017-5753: Spectre, bounds check bypass
  • CVE-2017-5715: Spectre, branch target injection
  • CVE-2017-5754: Meltdown, rogue data cache load

Verwundbarkeit reduzieren

Um zu verhindern, dass Kriminelle diese Sicherheitslücken ausnutzen, müssen Patches der verschiedenen Betriebssysteme installiert werden. Zügige Updates sind auch für die Firmware ratsam. Der KPTI/Kaiser-Patch sollte für den Linux-Kernel eingespielt werden. Auch für Windows, Server wie auch Client Versionen, sind bereits zahlreiche Patches verfügbar. Hier nur als ein Beispiel die MS Support Pagefür die Server Version.

Massnahmenplan

Bei terreActive gehört die Erkennung von und die Reaktion auf Sicherheitsvorfälle zum täglichen Betrieb im SOC (Security Operations Center). Daher kümmert sich das Incident & Response Team bereits seit dem 3.1.2018 um die Bedrohung durch Meltdown und Spectre. Im Rahmen des Vulnerability Managements, der permanenten Schwachstellenüberwachung, wurden die Angriffsszenarien geprüft und eine Strategie festgelegt, um Kunden proaktiv zu unterstützen.

Der aktuelle Massnahmenplan für Meltdown und Spectre aus Sicht SOC terreActive sieht wie folgt aus:

  • Systeme, die bei terreActive unter Vertrag stehen wurden geprüft.
  • Kunden werden informiert, via Ticketing Tool oder direkt vom terreActive Site Manager.
  • Aktionen mit entsprechenden Prioritäten werden definiert und festgehalten bei welchem System wie schnell welcher Handlungsbedarf besteht.
  • Zur Verfügung stehende Patches werden nach Absprache mit dem Kunden unverzüglich appliziert.

Parallel dazu hat die Entwicklungsabteilung der terreActive ihre SIEM Plattform tacLOM und ihre Produkte im Bereich System Monitoring und Log Management geprüft. Auf Betriebssystemebene stehen die neusten Linux Security Patches und die aktuelle Version des PAB3 für Upgrades zur Verfügung. Auf Applikationsebene ist bislang kein Handlungsbedarf erkennbar.

Meltdown und Spectre sind nur die ersten von vielen Sicherheitslücken, denen die Security Engineers in ihrem täglichen SOC-Betrieb 2018 noch begegnen werden. Das Spezielle an diesem Fall ist lediglich die hohe Anzahl betroffener Systeme, bedingt durch die Art der Schwachstelle, die auf modernen Prozessor-Architekturen beruht.