Windows 7 durch Meltdown-Patch von Microsoft noch unsicherer

Der Patch, mit dem Microsoft im Januar das Meltdown-Leck behoben hatte, sorgte unter Windows 7 lediglich zu einer Verlagerung des Problems. Wie der Entwickler Ulf Frisk mitteilt, soll sich das Risiko eines Angriffs dadurch sogar verstärkt haben, allerdings ist das auf Windows 7 und Server 2008 R2 beschränkt.

Der Speicher lässt sich durch das von Ulf Frisk entdeckte Fehlerhafte Meltdown-Update mit einer Übertragungsgeschwindigkeit von 4 GB/s auslesen. Dazu ist aufgrund einer fehlerhaften Berechtigung jeder Prozess oder Nutzer ohne Umwege in der Lage (Bild: Ulf Frisk).

In der 64-bit Version von Windows 7 and Server 2008 R2 sorgte das Update dafür, dass über die Page-Tabel-Verwaltung die Prozesse des Kernels von beliebigen Prozessen mitgelesen werden können. Wie Frisk mitteilt „ist es ach möglich in den zufälligen Speicher zu schreiben.“

Allerdings muss ein Angreifer am System eingeloggt sein, um das Leck ausnutzen zu können. Das bedeutet aber, dass auch lokal installierte Malware über dieses Leck sämtliche eigentlich geschützte Prozesse auslesen kann. Damit sind sämtliche sensible Informationen offen gelegt oder können manipuliert werden. Auch sei es damit möglich, die eigenen Rechte auszuweiten. Dieses Risiko sollte eigentlich mit dem Update beseitigt werden.

Whitepaper

CAD-Daten optimal verwalten: ECM-Lösungen vereinfachen Planmanagement

Wie ECM-Systeme CAD-Prozesse verbessern können, was eine gute ECM-Lösung beim Planmanagement auszeichnet und warum sich nscale CAD als spezialisierte Lösung für das Planmanagement anbietet, erklärt dieses Whitepaper.


Über Meltdown ist es angemeldeten Nutzern ebenfalls möglich, Passwörter oder persönliche Informationen aus dem Kernel-Memory auszulesen. Allerdings war es nicht ganz trivial, das Leck auszunutzen. Ganz anders verhält es sich bei dem neuen Sicherheitsproblem. „Dafür sind keine abgefahreren Exploits nötig. Windows 7 übernimmt bereits die schwere Arbeit des Mappings des Memorys zu jedem Prozess. Der Exploit ist nur eine Sache von Schreiben und Lesen von bereits gemapptem Prozess-Memory“, so Frisk.

Frisk untermauert seine Behauptungen mit detaillierten Angaben und einem Proof of Concept. Das Problem lasse sich laut der Meinung des Sicherheitsforschers an einem einzelnen Bit festmachen, das durch den Kernel in einem Eintrag in der CPU-Page-Tabel gesetzt wurde. Durch dieses Bit wird der Lese-Schreib-Zugriff auf die Page-Map-Level 4 auf der Adresse „0xFFFFF6FB7DBED000“ im Virtuellen Speicher ermöglicht.

Daher kann auch jede Schadsoftware und angemeldete Nutzer diese Stelle ausfindig machen. Durch die Veränderung dieses Berechtigungs-Bits werden die Zugriffsrechte von Supervisor-Only auf Any-User umgestellt. Damit kann dann jeder Nutzer und jeder Prozess auf die Memory zugreifen. Diese PML4 fungiert in gewisser Weise als Telefonbuch für den Speicher und welche Prozesse darauf zugreifen können. Durch das Update wurde diese PML4 für alle geöffnet.

Windows 8 wie auch Windows 10 sind nicht von dem Problem betroffen. Frisk hat mit seiner Veröffentlichung auch den Microsoft-Patch-Day abgewartet, denn Microsoft hat mit der aktuellen Aktualisierung das Problem wieder gelöst. Einen Kommentar von Microsoft gibt es zu diesem Bericht jedoch bislang nicht.

Wer also den Patch im Januar aufgespielt hatte, sollte jetzt Windows 7 und Server 2008 R2 noch mit Microsofts jüngsten Patches versorgen.

Tipp: Wie gut kennen Sie sich mit Windows XP aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Martin Schindler

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

8 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

12 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

13 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

13 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

13 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

15 Stunden ago