Der Patch, mit dem Microsoft im Januar das Meltdown-Leck behoben hatte, sorgte unter Windows 7 lediglich zu einer Verlagerung des Problems. Wie der Entwickler Ulf Frisk mitteilt, soll sich das Risiko eines Angriffs dadurch sogar verstärkt haben, allerdings ist das auf Windows 7 und Server 2008 R2 beschränkt.
In der 64-bit Version von Windows 7 and Server 2008 R2 sorgte das Update dafür, dass über die Page-Tabel-Verwaltung die Prozesse des Kernels von beliebigen Prozessen mitgelesen werden können. Wie Frisk mitteilt „ist es ach möglich in den zufälligen Speicher zu schreiben.“
Allerdings muss ein Angreifer am System eingeloggt sein, um das Leck ausnutzen zu können. Das bedeutet aber, dass auch lokal installierte Malware über dieses Leck sämtliche eigentlich geschützte Prozesse auslesen kann. Damit sind sämtliche sensible Informationen offen gelegt oder können manipuliert werden. Auch sei es damit möglich, die eigenen Rechte auszuweiten. Dieses Risiko sollte eigentlich mit dem Update beseitigt werden.
Wie ECM-Systeme CAD-Prozesse verbessern können, was eine gute ECM-Lösung beim Planmanagement auszeichnet und warum sich nscale CAD als spezialisierte Lösung für das Planmanagement anbietet, erklärt dieses Whitepaper.
Über Meltdown ist es angemeldeten Nutzern ebenfalls möglich, Passwörter oder persönliche Informationen aus dem Kernel-Memory auszulesen. Allerdings war es nicht ganz trivial, das Leck auszunutzen. Ganz anders verhält es sich bei dem neuen Sicherheitsproblem. „Dafür sind keine abgefahreren Exploits nötig. Windows 7 übernimmt bereits die schwere Arbeit des Mappings des Memorys zu jedem Prozess. Der Exploit ist nur eine Sache von Schreiben und Lesen von bereits gemapptem Prozess-Memory“, so Frisk.
Frisk untermauert seine Behauptungen mit detaillierten Angaben und einem Proof of Concept. Das Problem lasse sich laut der Meinung des Sicherheitsforschers an einem einzelnen Bit festmachen, das durch den Kernel in einem Eintrag in der CPU-Page-Tabel gesetzt wurde. Durch dieses Bit wird der Lese-Schreib-Zugriff auf die Page-Map-Level 4 auf der Adresse „0xFFFFF6FB7DBED000“ im Virtuellen Speicher ermöglicht.
Daher kann auch jede Schadsoftware und angemeldete Nutzer diese Stelle ausfindig machen. Durch die Veränderung dieses Berechtigungs-Bits werden die Zugriffsrechte von Supervisor-Only auf Any-User umgestellt. Damit kann dann jeder Nutzer und jeder Prozess auf die Memory zugreifen. Diese PML4 fungiert in gewisser Weise als Telefonbuch für den Speicher und welche Prozesse darauf zugreifen können. Durch das Update wurde diese PML4 für alle geöffnet.
Windows 8 wie auch Windows 10 sind nicht von dem Problem betroffen. Frisk hat mit seiner Veröffentlichung auch den Microsoft-Patch-Day abgewartet, denn Microsoft hat mit der aktuellen Aktualisierung das Problem wieder gelöst. Einen Kommentar von Microsoft gibt es zu diesem Bericht jedoch bislang nicht.
Wer also den Patch im Januar aufgespielt hatte, sollte jetzt Windows 7 und Server 2008 R2 noch mit Microsofts jüngsten Patches versorgen.
Tipp: Wie gut kennen Sie sich mit Windows XP aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…