Windows 7 durch Meltdown-Patch von Microsoft noch unsicherer

Der Patch, mit dem Microsoft im Januar das Meltdown-Leck behoben hatte, sorgte unter Windows 7 lediglich zu einer Verlagerung des Problems. Wie der Entwickler Ulf Frisk mitteilt, soll sich das Risiko eines Angriffs dadurch sogar verstärkt haben, allerdings ist das auf Windows 7 und Server 2008 R2 beschränkt.

Der Speicher lässt sich durch das von Ulf Frisk entdeckte Fehlerhafte Meltdown-Update mit einer Übertragungsgeschwindigkeit von 4 GB/s auslesen. Dazu ist aufgrund einer fehlerhaften Berechtigung jeder Prozess oder Nutzer ohne Umwege in der Lage (Bild: Ulf Frisk).

In der 64-bit Version von Windows 7 and Server 2008 R2 sorgte das Update dafür, dass über die Page-Tabel-Verwaltung die Prozesse des Kernels von beliebigen Prozessen mitgelesen werden können. Wie Frisk mitteilt „ist es ach möglich in den zufälligen Speicher zu schreiben.“

Allerdings muss ein Angreifer am System eingeloggt sein, um das Leck ausnutzen zu können. Das bedeutet aber, dass auch lokal installierte Malware über dieses Leck sämtliche eigentlich geschützte Prozesse auslesen kann. Damit sind sämtliche sensible Informationen offen gelegt oder können manipuliert werden. Auch sei es damit möglich, die eigenen Rechte auszuweiten. Dieses Risiko sollte eigentlich mit dem Update beseitigt werden.

Whitepaper

CAD-Daten optimal verwalten: ECM-Lösungen vereinfachen Planmanagement

Wie ECM-Systeme CAD-Prozesse verbessern können, was eine gute ECM-Lösung beim Planmanagement auszeichnet und warum sich nscale CAD als spezialisierte Lösung für das Planmanagement anbietet, erklärt dieses Whitepaper.


Über Meltdown ist es angemeldeten Nutzern ebenfalls möglich, Passwörter oder persönliche Informationen aus dem Kernel-Memory auszulesen. Allerdings war es nicht ganz trivial, das Leck auszunutzen. Ganz anders verhält es sich bei dem neuen Sicherheitsproblem. „Dafür sind keine abgefahreren Exploits nötig. Windows 7 übernimmt bereits die schwere Arbeit des Mappings des Memorys zu jedem Prozess. Der Exploit ist nur eine Sache von Schreiben und Lesen von bereits gemapptem Prozess-Memory“, so Frisk.

Frisk untermauert seine Behauptungen mit detaillierten Angaben und einem Proof of Concept. Das Problem lasse sich laut der Meinung des Sicherheitsforschers an einem einzelnen Bit festmachen, das durch den Kernel in einem Eintrag in der CPU-Page-Tabel gesetzt wurde. Durch dieses Bit wird der Lese-Schreib-Zugriff auf die Page-Map-Level 4 auf der Adresse „0xFFFFF6FB7DBED000“ im Virtuellen Speicher ermöglicht.

Daher kann auch jede Schadsoftware und angemeldete Nutzer diese Stelle ausfindig machen. Durch die Veränderung dieses Berechtigungs-Bits werden die Zugriffsrechte von Supervisor-Only auf Any-User umgestellt. Damit kann dann jeder Nutzer und jeder Prozess auf die Memory zugreifen. Diese PML4 fungiert in gewisser Weise als Telefonbuch für den Speicher und welche Prozesse darauf zugreifen können. Durch das Update wurde diese PML4 für alle geöffnet.

Windows 8 wie auch Windows 10 sind nicht von dem Problem betroffen. Frisk hat mit seiner Veröffentlichung auch den Microsoft-Patch-Day abgewartet, denn Microsoft hat mit der aktuellen Aktualisierung das Problem wieder gelöst. Einen Kommentar von Microsoft gibt es zu diesem Bericht jedoch bislang nicht.

Wer also den Patch im Januar aufgespielt hatte, sollte jetzt Windows 7 und Server 2008 R2 noch mit Microsofts jüngsten Patches versorgen.

Tipp: Wie gut kennen Sie sich mit Windows XP aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Martin Schindler

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

4 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

6 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

6 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

9 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

10 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

10 Stunden ago