Windows 10 1803: Spectre-Patches endlich verfügbar

Microsoft liefert mit KB4100347 die lang erwarteten Microcode-Updates für Windows 10 1803 April-2018-Update, die PCs mit Intel-Prozessoren vor den mit Spectre bezeichneten Angriffsszenarien schützen sollen. Die Microcode-Updates sind auch für Windows Server 2016 1803 verfügbar.

Während diese für die Vorgänger-Version Windows 10 1709 zur Verfügung standen, waren sie in der kürzlich ausgelieferten Windows-10-Version 1803 April-2018-Update nicht mehr enthalten. Ohne diese sind PCs, deren BIOS nicht mit den Microcode-Updates aktualisiert wurde, gegenüber Spectre-Angriffen ungeschützt. Zuvor hatte Microsoft die Microcode-Updates bereits in die aktuelle Windows-Insider-Version 1803 Build 17166.1000 integriert.

Anwender können mit dem Tool inSpectre überprüfen, ob der betreffende PC einen Schutz vor Spectre-Angriffen bietet. Ist dies gegeben, ohne dass die Microcode-Updates installiert wurden, beinhaltet das PC-BIOS bereits die Microcode-Updates. Das ist beispielsweise beim Surface Pro 3 der Fall.

Die veröffentlichten Microcode-Updates sollen automatisch über die in Windows 10 integrierte Aktualisierungsfunktion an betroffene Systeme ausgeliefert werden. Bei einigen Test-PCs wurden die Updates bisher nicht angeboten. Allerdings ist auch eine manuelle Installation möglich. Hierfür lädt man die betreffende Datei aus dem Windows-Update-Katalog herunter und installiert diese.

Spectre und Meltdown

Anfang des Jahres hatten mehrere Forscher unabhängig voneinander die mit Spectre und Meltdown bezeichneten Angriffsszenarien entdeckt. Von „Sicherheitslücken“ im klassischen Sinn zu sprechen, ist dabei aber etwas zu kurz gegriffen, denn es handelt sich nicht etwa um eine einzelne fehlerhaft implementierte Funktion von Prozessoren. Vielmehr geht es um Seitenkanalangriffe auf Mechanismen der spekulativen Befehlsausführung (speculative execution) und dem Umsortieren von Befehlen (out-of-order execution). Diese Methoden existieren in x86-Prozessoren seit dem Pentium Pro von 1995 und wurden seitdem nicht nur bei Intel-CPUs, sondern in allen modernen Designs eingesetzt. Ausnahmen sind der Itanium und die bis 2013 erschienenen frühen Atom-Prozessoren, die nicht spekulativ arbeiten.

Dennoch betrifft das Problem Intel-Chips in besonderer Weise, denn die Meltdown-Attacke funktioniert nur bei diesen. Dabei handelt es sich um einen Angriffsvektor, über den Programme aus virtuellen Maschinen ausbrechen können, oder, falls diese nicht existieren, auf dem lokalen System Zugriff auf Speicherbereiche des Betriebssystems haben. Somit ist es möglich, sensible Daten wie Passwörter, entschlüsselte Daten oder gleich die Keys von Krypto-Verfahren selbst abzufangen. Dagegen gibt es eigentlich die auf Hardwareebene befindliche Gegenmaßnahme wie die Speicherverwürflung ASLR – doch Meltdown umgeht diese. Helfen kann nur die gegenseitige Isolation von Speicherseiten der Kernel, auch bekannt als „page table isolation“ (PTI oder KPTI), die Umsetzung dessen wurde KAISER getauft. Sie ist im aktuellen Linux-Kernel 4.14.11 bereits umgesetzt. Durch die Arbeit daran wurde Meltdown, noch bevor es so genannt wurde, bereits vor einigen Tagen bekannt.

Spectre betrifft auch andere Prozessoren

Daher wurde zunächst auch angenommen, dass das Problem mit dem spekulativen Daten nur Intel-Chips betreffe, was der CPU-Hersteller jedoch anders sieht. Auch AMDs erste Äußerungen zu der Sache sind nur die halbe Wahrheit, denn neben Meltdown gibt es auch noch Spectre, und das funktioniert laut Tests von Sicherheitsforschern mindestens bei CPUs von AMD, ARM und Intel. Spectre greift die spekulative Ausführung von Befehlen und die Verzweigungsvorhersage an, daher besteht das Logo des Bugs auch aus einem Geist mit einem Zweig in der Hand.

Im Kern besteht Spectre aus einem Programm, das andere Anwendungen dazu bringt, ihre Daten preiszugeben. Dazu werden fehlerhafte Verzweigungsvorhersagen und nicht tatsächlich benötigte Befehle ausgeführt, deren Ergebnisse dann aus Caches des Prozessors ausgelesen werden. Spectre ist dabei noch etwas gefährlicher als Meltdown, denn unter anderem war es möglich, über ein Programm in Javascript an Daten aus dem Browser zu kommen. Das übliche Sicherheitskonzept der Sandbox eines Browsers, in der streng isolierte Programme beispielsweise via Javascript laufen sollen, ist damit gebrochen. Ein Patch des Betriebssystems allein hilft nicht gegen Spectre, vielmehr müssen sämtliche Anwendungen auf Angreifbarkeit überprüft werden. Daher sagen auch die Sicherheitsforscher von Googles Project Zero „das wird uns noch einige Zeit lang erschrecken“.

Das Security-Projekt von Google hat auch zuerst umfassend über Meltdown und Spectre berichtet, entdeckt wurden die Probleme unabhängig voneinander vom dort tätigen Sicherheitsforscher Jann Horn sowie von Experten des deutschen Unternehmens Cyberus sowie der Universitäten in Graz, Adelaide und unabhängigen Forschern. Nicht nur das große Team, auch der zeitliche Ablauf weist auf die Größe des Gesamtproblems hin: Laut Google wurden die Fehler bereits im Juni 2017 an ARM, AMD und Intel gemeldet, und die Lücken sollten zumindest auf Ebene der Betriebssysteme bis zum 9. Januar 2018 geschlossen werden.

Tipp: Wie gut kennen Sie sich mit Prozessoren aus? Überprüfen Sie Ihr Wissen – mit dem Quiz auf silicon.de.