Windows 7 durch Meltdown-Patch von Microsoft noch unsicherer

Der Patch, mit dem Microsoft im Januar das Meltdown-Leck behoben hatte, sorgte unter Windows 7 lediglich zu einer Verlagerung des Problems. Wie der Entwickler Ulf Frisk mitteilt, soll sich das Risiko eines Angriffs dadurch sogar verstärkt haben, allerdings ist das auf Windows 7 und Server 2008 R2 beschränkt.

Der Speicher lässt sich durch das von Ulf Frisk entdeckte Fehlerhafte Meltdown-Update mit einer Übertragungsgeschwindigkeit von 4 GB/s auslesen. Dazu ist aufgrund einer fehlerhaften Berechtigung jeder Prozess oder Nutzer ohne Umwege in der Lage (Bild: Ulf Frisk).

In der 64-bit Version von Windows 7 and Server 2008 R2 sorgte das Update dafür, dass über die Page-Tabel-Verwaltung die Prozesse des Kernels von beliebigen Prozessen mitgelesen werden können. Wie Frisk mitteilt „ist es ach möglich in den zufälligen Speicher zu schreiben.“

Allerdings muss ein Angreifer am System eingeloggt sein, um das Leck ausnutzen zu können. Das bedeutet aber, dass auch lokal installierte Malware über dieses Leck sämtliche eigentlich geschützte Prozesse auslesen kann. Damit sind sämtliche sensible Informationen offen gelegt oder können manipuliert werden. Auch sei es damit möglich, die eigenen Rechte auszuweiten. Dieses Risiko sollte eigentlich mit dem Update beseitigt werden.

Über Meltdown ist es angemeldeten Nutzern ebenfalls möglich, Passwörter oder persönliche Informationen aus dem Kernel-Memory auszulesen. Allerdings war es nicht ganz trivial, das Leck auszunutzen. Ganz anders verhält es sich bei dem neuen Sicherheitsproblem. „Dafür sind keine abgefahreren Exploits nötig. Windows 7 übernimmt bereits die schwere Arbeit des Mappings des Memorys zu jedem Prozess. Der Exploit ist nur eine Sache von Schreiben und Lesen von bereits gemapptem Prozess-Memory“, so Frisk.

Frisk untermauert seine Behauptungen mit detaillierten Angaben und einem Proof of Concept. Das Problem lasse sich laut der Meinung des Sicherheitsforschers an einem einzelnen Bit festmachen, das durch den Kernel in einem Eintrag in der CPU-Page-Tabel gesetzt wurde. Durch dieses Bit wird der Lese-Schreib-Zugriff auf die Page-Map-Level 4 auf der Adresse „0xFFFFF6FB7DBED000“ im Virtuellen Speicher ermöglicht.

Daher kann auch jede Schadsoftware und angemeldete Nutzer diese Stelle ausfindig machen. Durch die Veränderung dieses Berechtigungs-Bits werden die Zugriffsrechte von Supervisor-Only auf Any-User umgestellt. Damit kann dann jeder Nutzer und jeder Prozess auf die Memory zugreifen. Diese PML4 fungiert in gewisser Weise als Telefonbuch für den Speicher und welche Prozesse darauf zugreifen können. Durch das Update wurde diese PML4 für alle geöffnet.

Windows 8 wie auch Windows 10 sind nicht von dem Problem betroffen. Frisk hat mit seiner Veröffentlichung auch den Microsoft-Patch-Day abgewartet, denn Microsoft hat mit der aktuellen Aktualisierung das Problem wieder gelöst. Einen Kommentar von Microsoft gibt es zu diesem Bericht jedoch bislang nicht.

Wer also den Patch im Januar aufgespielt hatte, sollte jetzt Windows 7 und Server 2008 R2 noch mit Microsofts jüngsten Patches versorgen.

Tipp: Wie gut kennen Sie sich mit Windows XP aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.