Fakten zu Spectre und Meltdown

Laut diverser Medienberichte haben Sicherheitsforscher einen grundlegenden Baufehler in Mikroprozessoren (Computerchips) verschiedener Hersteller entdeckt. Aufgrund dieses Fehlers  könnte Schadcode einzelne Passwörter oder private Schlüssel auslesen, und so die Sicherheit des Systems oder von Nutzern des Systems gefährden. Bisher ist allerdings noch kein Fall von Missbrauch unter Ausnutzung des Baufehlers bekannt. Die eigenen Server-Systeme der Telekom sind nach außen abgeschottet, daher ist die Schwachstelle hier nicht relevant.

Der Baufehler besteht in der „Spekulative Ausführung“ genannten Funktion moderner Mikroprozessoren, die vor vielen Jahren zur Steigerung der Geschwindigkeit implementiert wurde. Hierbei werden nicht genutzte Prozessor-Ressourcen dazu genutzt, um erwartbare Folgeaktionen zu berechnen.  Auf Basis dieser Lücke haben Sicherheitsforscher zwei verschiedene hoch komplexe Angriffsmöglichkeiten erfolgreich getestet, die „Spectre“ und „Meltdown“ genannt werden. Diese Angriffe betreffen primär Systeme wie PCs, Cloud-Umgebungen und Smartphones bzw. Tablets, die die Ausführung von externen Anwendungen (Programme, Anwendungen, Apps, Webseiten, etc.) erlauben. Denn zur Realisierung eines erfolgreichen Angriffs muss zwingend eine Schadsoftware lokal ausgeführt werden.

Nicht alle Angriffsmöglichkeiten lassen sich über Softwareupdates an Betriebssystem und Hypervisor umgehen. Es werden zusätzliche Workarounds in Anwendungen nötig sein, um sämtliche theoretisch möglichen Angriffsvektoren zu unterbinden. Dennoch lassen sich mit Patches die wichtigsten Lücken schließen.
Erste Hersteller haben bereits Patches zur Verfügung gestellt oder angekündigt. Mit dem Einspielen vorliegender Patches haben wir begonnen -- sobald weitere Updates zur Verfügung stehen, werden wir sie auch umgehend einspielen.

Im Detail:

Was Privatkunden aktuell tun können und welche Hersteller bereits Patches zur Verfügung gestellt haben, hat die Deutsche Presse Agentur zusammengefasst:

• Windows: Microsoft hat bereits ein erstes Update für Windows 10 veröffentlicht. Auch für Windows 8 und Windows 7 sollen Updates bereitgestellt werden. Sofern nicht automatisch Updates eingespielt werden, sollten Nutzer in den nächsten Tagen in der Systemsteuerung unter «Windows Update» schauen, ob bereits frische Software vorhanden ist. Grundsätzlich rät Microsoft, immer sofort die neuesten Sicherheitsupdates einzuspielen, und bei diesen Lücken insbesondere auch auf Updates der Gerätehersteller selbst (Firmwareupdates) zu achten.
• macOS: Auch Mac-Nutzer sollten Updates sofort installieren, wenn sie über den Mac App Store angeboten werden. Wie «heise security» berichtet, ist ein Teil des Problems mit dem jüngsten macOS-Update bereits behoben. Das Update auf macOS 10.3.3 soll weiteren Schutz bringen.

Die Deutsche Telekom steht bereits mit allen Herstellern aus ihrem Smartphone Portfolio in Kontakt, um für unsere Netzbetreiber-Varianten schnellstmöglich die von Google bereitgestellten Sicherheits-Patches allen Endkunden zur Verfügung zu stellen. Mit dem Android Security Patch Level vom 5. Januar 2018 oder neuer ist diese Sicherheitslücke (Spectre & Meltdown) behoben. Des Weiteren empfiehlt die Deutsche Telekom regelmäßig zu Prüfen ob Software-Updates für Ihr Smartphone verfügbar sind und diese zeitnah zu installieren. Mit dem Software Update iOS 11.2.2 ist die Lücke bei Apple bereits gefixt.

Für die Router der Deutschen Telekom sind die Spectre und Meltdown-Angriffe in der Praxis nicht relevant. Zum einen nutzen die meisten Modelle Mikroprozessorarchitekturen, die Stand heute nicht verwundbar sind, zum anderen erfordert das Ausnutzen der Lücke in einem verwundbaren Prozessor ja das Ausführen von Schadcode auf dem Gerät. Unsere Router erlauben keine Codeausführung aus unsicheren Quellen. Ein Angriff ist also nicht einfach möglich.
Dennoch prüfen wir gemeinsam mit unseren Herstellern, ob Prozessoren in unseren Routern von der Schwachstelle betroffen sind, und wir werden für betroffene Geräte Updates bereit stellen.

In der Open Telekom Cloud werden aktuell die verfügbaren Patches für den Microcode der intel Prozessoren sowie die Fehlerumgehungen in Hypervisoren und Betriebssystemen eingespielt, damit die vollständige Abschottung von Prozessen, Containern und virtuellen Maschinen gewährleistet werden kann. Die Änderungen werden allerdings zu einer etwas reduzierten Systemleistung führen. Dies ist allerdings unvermeidlich, solange die Prozessorhersteller nicht Hardware herstellen, die die Probleme grundsätzlich beheben.Eine detaillierte Analyse und der Status für die Open Telekom Cloud sind auf der Webseite https://imagefactory.otc.t-systems.com/Blog-Review/SpecExLeak verfügbar.