Spectre: Gefährlicher Exploit-Code entdeckt

Meltdown und Spectre – diese beiden Sicherheitslücken haben Anfang 2018 die Welt in Atem gehalten. Diese Sicherheitslücken befinden sich nicht in Programmen, Applikationen oder Betriebssystemen, sondern auf einer Ebene, die bisher nur wenige Mal­ware-Autoren nutzen: die Hardware, speziell der Prozessor.

Bisher haben viele IT-Sicherheitsfachleute diese Hardware-­Sicherheitslücken augenzwinkernd als "Schwarze Magie" charakterisiert. Die Situation hat sich mittlerweile aber geändert: Denn vor einigen Monaten wurden Programmteile im Internet identifiziert, die sich unbemerkt für einen Angriff nutzen lassen. Konkret handelt es sich dabei um Exploit-Module, welche die Spectre-Lücke gezielt anvisieren. Die Abschnitte des Programms sind eigentlich Bestandteil einer Software namens "Canvas". Derartige Programme nutzen beispielsweise Penetrationstester, um im Kundenauftrag die Sicherheit von Firmennetzwerken zu überprüfen. Der Zugang zu diesen Tools ist natürlich stark eingeschränkt und legal nur innerhalb enger Grenzen möglich. In den falschen Händen stellen die Programme aber eine echte Gefahr dar – gerade dann, wenn sie Cyberkriminellen in die Hände fallen.

Um es in aller Deutlichkeit zu sagen: Derartige Sicherheits­lücken lassen sich nach wie vor alles andere als leicht ausnutzen. Wenn aber eine fachkundige Person mit den entsprechenden Kenntnissen einen funktionierenden Exploit entwickelt und diesen veröffentlicht, steigt das Risiko für Angriffe auf dieser Basis enorm. Insbesondere, weil auch Täter mit deutlich geringerem Know-how damit grossen Schaden verursachen können.

Schnell handeln und Updates einspielen

Sicherheitslücken in Hardware nachhaltig zu beheben, funktioniert ausschliesslich durch die Änderung der Hardware selbst. Das können also nur die jeweiligen Chip-Hersteller ausführen. Diese Tatsache führt zu zwei wesentlichen Problemen: Einerseits müssen Hardwareprobleme durch einen Software-Patch temporär repariert werden. Das kann wiederum zu weiteren Problemen führen, wie etwa das Entstehen zusätzlicher Sicherheitslücken. Andererseits: Da nicht davon auszugehen ist, dass Privatanwender oder Unternehmen aufgrund dieser Sicherheitslücken ihre Hardware komplett austauschen, werden anfällige Systeme in einigen Fällen noch zehn Jahre oder länger eingesetzt.

Wer diese beiden Fakten mit der Tendenz vieler Hersteller, Patches viel zu spät auszurollen, verbindet, kann nur zu einem Ergebnis kommen: Ein dramatisches Szenario, dessen Reichweite kaum abzuschätzen ist, denn wir reden hier von einem globalen Problem. Über Millionen Systeme, die weltweit gefährdet sind und auf denen mit grosser Wahrscheinlichkeit nicht überall aktuelle Patches installiert sind – sofern diese überhaupt bereitstehen. Allerdings garantiert selbst die Verfügbarkeit von Patches nicht, dass Verantwortliche diese auch installieren. Ein warnendes Beispiel war der Bluekeep-Exploit, den das Schadprogramm Wannacry genutzt hatte. Dafür war bereits Monate vor der ­Wannacry-Welle ein Patch vorhanden. Der Ausgang der Geschichte ist hinlänglich bekannt. Wer heute also seine IT-Systeme nicht kontinuierlich patcht, der geht dauerhaft ein unnötig hohes Risiko ein.

----------

Nur eine Änderung der Hardware kann die Sicherheitslücke schliessen

Anfang 2018 haben die Sicherheitslücken Spectre und Meltdown für viel Aufsehen gesorgt. Im Interview sagt Cornelia Lehle, Sales Director bei G Data Schweiz, was die Sicherheitslücken auch heute noch so gefährlich machen und was ­Unternehmen jetzt tun sollten. Interview: Coen Kaat

Spectre ist schon zwei Jahre her. Wie gross ist die Bedrohung heute noch, die von dieser Sicherheitslücke ausgeht?

Cornelia Lehle: Bei Spectre handelt es sich um eine Sicherheits­lücke auf Prozessor-Ebene. Während Schwachstellen in Programmen und Betriebssystemen ein sehr schnelllebiges Geschäft sind, weil sich diese sofort patchen lassen, ist die Situation bei Spectre anders. Der Aufwand für Unternehmen, diese Lücke zu schliessen, ist deutlich grösser als bei Software, wo mittlerweile die Installation des Patches fast automatisch erfolgt. Beim Tausch der Hardware stellen sich für Firmen die Fragen nach den Kosten und somit auch nach der Wirtschaftlichkeit. Hinzu kommt: Auch die Hersteller benötigen Zeit, um den Herstellungsprozess anzupassen. Es ist also davon auszugehen, dass auch in den kommenden Jahren auf der ganzen Welt Systeme angreifbar sind.

Was macht Spectre so gefährlich?

Die Spectre-Lücke ist nicht trivial und es braucht ein entsprechendes Wissen, um die Lücke auszunutzen. Bis jetzt hatten sich die damaligen Befürchtungen, dass Kriminelle ohne Fachkenntnisse auf breiter Front die Sicherheitslücken ausnutzen könnten, nicht bewahrheitet. Mit dem Exploit-Code hat sich die Situation nun aber deutlich verändert, denn dieser macht es nun wesentlich leichter, die Lücke auszunutzen. Hinzu kommt: Nicht alle Unternehmen und Privatanwender werden sofort ihre Hardware austauschen. Infolgedessen ist ein Szenario denkbar, dass auch noch in einigen Jahren Systeme angreifbar sind. Besonders gefährdet sind ältere CPUs, die vor 2015 produziert wurden. Dafür existieren keine Patches.

Mit welchen Angriffsszenarien ist zu rechnen?

In den nächsten Jahren kann es für Angreifer durchaus lohnenswerter sein, die bekannte Lücke auszunutzen. Was Spectre so kritisch macht, ist die Tatsache, dass damit Sicherheitsmassnahmen umgangen werden, die eigentlich sicherstellen, dass bestimmte Daten nicht für andere Programme oder Teile davon zugänglich sind. Wer die Sicherheitslücken ausnutzt, kann potenziell Zugriff auf vertrauliche Informationen wie etwa Passwörter erhalten. Gezielte Angriffe, die das Sammeln dieser Daten zum Ziel haben, sind also absolut möglich. Die gleichen Daten lassen sich natürlich weiterhin auch mit wesentlich einfacheren Mitteln erbeuten, die seit Jahren gut etabliert sind, wie etwa Phishing-Nachrichten. Wir können also nicht genau sagen, welche Wege die Kriminellen am Ende gehen werden.

Was haben Chip-Hersteller und Cybersecurity-Anbieter seitdem unternommen, um die Sicherheitslücke zu schliessen?

Intel hatte seinerzeit für viele Prozessoren Microcode-Updates bereitgestellt. In der Praxis können Anwender also mit diesen Software-Updates ihr individuelles Risiko minimieren. Bei G Data haben wir den "G Data Meltdown & Spectre Scanner" entwickelt. Dieser prüft, ob Systeme für Angriffe über die Spectre-Sicherheitslücke anfällig sind. Nach der Prüfung erhalten Anwender eine Information über den Sicherheitsstatus des Systems sowie mögliche Gegenmassnahmen. Um es aber ganz deutlich zu sagen: Ganz lässt sich das Risiko nicht eliminieren. Wer damals keine besonderen Massnahmen ergriffen hat, der sollte diese Entscheidung spätestens jetzt noch einmal auf den Prüfstand stellen. Denn auch auf der offiziellen Webseite zu Meltdown und Spectre heisst es nach wie vor, dass die Sicherheitslücken alles andere als einfach zu beseitigen sind. Die zugrundeliegenden Probleme lassen sich ausschliesslich aufseiten der Chip-Hersteller beseitigen.

Was sollten Unternehmen jetzt tun?

Zunächst einmal sollten Unternehmen umgehend die bereitgestellten Updates installieren. Grundsätzlich kann aber natürlich nur eine Änderung der Hardware selbst die Sicherheitslücke dauerhaft schliessen. Auch die Art und Weise, wie Anwendungen intern mit Daten umgehen, spielt hier eine Rolle. Kein Unternehmen wird sofort seine gesamte Hardware austauschen. Da zum Beispiel Spectre auf die sogenannte "Speculative Execution" von Programmcode setzt und die vorläufige Massnahme dieses Feature deaktiviert, sind unter Umständen Performance-Einbussen zu erwarten. Für Unternehmen und Anwender ist all das wenig befriedigend, aber momentan kaum zu ändern.