Quantcast

Security Advisory

Betrifft: Meltdown CVE-2017-5754 | Spectre CVE-2017-5753, CVE-2017-5715

1. Übersicht/Hintergrund

Meltdown und Spectre sind Angriffsszenarien, die kritische Sicherheitslücken in modernen Prozessoren ausnutzen. Diese Sicherheitslücken in der Hardware ermöglichen es schadhaften Programmen, Daten zu stehlen, die lokal auf einem PC verarbeitet werden. 

Bereits im Juni letzten Jahres hat Jann Horn – Forschungsmitglied bei Google Project Zero – die Prozessorhersteller Intel, AMD und ARM über die Sicherheitslücke informiert. Anfang Januar 2018 wurden Meltdown und Spectre dann erst publik. Diese betreffen nahezu alle Mikroprozessoren.

Alle relevanten Betriebssysteme sind von Meltdown und Spectre betroffen, wie:

  • Microsoft Windows
  • Linux
  • macOS
  • iOS
  • Android
  • FreeBSD

Über Meltdown
Meltdown bricht die grundlegendste Isolierung zwischen Benutzeranwendungen und dem Betriebssystem. Oder anders ausgedrückt: Die Grenze zwischen Nutzerbereich und geschütztem Bereich in einer CPU wird „eingeschmolzen“. Dieser Angriff ermöglicht es einem Programm, auf den Speicher und damit auf sensible Informationen anderer Programme und des Betriebssystems zuzugreifen. Dies gilt sowohl für PCs als auch für die Cloud-Infrastruktur.

Dieser Bug betrifft u.a. Intel und ARM-CPUs, die Out-of-Order-Execution einsetzen, also jeder Prozessor, der nach 1995 hergestellt wurde (Ausnahmen sind Intel Itanium und Intel Atom, die vor 2013 hergestellt wurden). Meltdown ist ein Zusammenspiel interner Verhaltensweisen von Intel CPUs, die dazu führen, dass geschützte Speicherbereiche ausgelesen werden können. Mit Programmen, denen das eigentlich nicht möglich sein sollte.

Die Ursache für die Einfachheit und Stärke von Meltdown sind Begleiterscheinungen, die durch das Feature „Out-of-Order-Execution“ verursacht werden. Out-of-Order-Execution ist ein wichtiges Leistungsmerkmal der heutigen Prozessoren, um Latenzen bzw. Verzögerungszeiten von beschäftigten Ausführungseinheiten z.B. eines Programmes zu überwinden. Anstatt Ausführungen anzuhalten, führen moderne Prozessoren Operationen „Out-of-Order“ aus, d. h. sie schauen voraus und planen, später Operationen durchzuführen. Das findet in den Leerlauf-Ausführungseinheiten des Prozessors statt. Dieser Bereich ist nicht speziell geschützt, aber ein Zugriff auf Nutzerebene ist normalerweise nicht möglich. Mit Meltdown ist es aber möglich, diesen geschützten Bereich auszulesen.

Über Spectre
Spectre unterbricht die Isolation zwischen verschiedenen Anwendungen. Dabei ist Spectre deutlich komplexer und betrifft nicht nur die Intel-Prozessoren, sondern auch andere Hersteller wie AMD oder ARM.
Hier lautet das Stichwort „Speculative Execution“ oder auch Sprungvorhersage. Auch damit wird ein Leistungsvorsprung durch „Over-Execution bzw. Mehrauslastung“ erzielt. Der Prozessor macht verschiedene Leistungsberechnungen, um im Fall der Fälle die Anfrage eines Programmes in Nanosekunden zu beantworten. Allerdings werden die meisten dieser Vorausrechnungen nicht gebraucht und dann verworfen („discard“). Diese landen dann in einem Cache Memory in der CPU. Spectre kann auf diesen Bereich zugreifen bzw. verleitet Prozessoren dazu, Anweisungen auszuführen, die sie nicht hätten ausführen sollen. So bekommt Spectre in Form einer schadhaften Anwendung wie Javascript Zugriff auf vertrauliche Informationen im Speicher anderer Anwendungen.

2. Allgemeine Sicherheitshinweise

Generell ist es ratsam, die Updates der jeweiligen Betriebssysteme, Hersteller von Computersystemen, Prozessorhersteller und Softwareanwendungen auszuführen. Hier gibt es eine entsprechende Liste mit den entsprechenden Links zu den Seiten der Hersteller: https://meltdownattack.com/#faq-fix 

Microsoft hat im Zuge der veröffentlichten Updates am 03.01.2018 einige Kompatibilitätsprobleme mit Antivirussoftware bekannt gegeben. Hier gibt es von Seiten Microsofts eine Erklärung und Handlungsempfehlungen: https://support.microsoft.com/en-hk/help/4072699/january-3-2018-windows-... Mittlerweile haben die Antivirushersteller aber auf diesen Umstand reagiert. Schauen Sie bei Ihrem Anbieter nach, ob dieser ein entsprechendes Update bereitgestellt hat. 

Generell ist es so, dass die Updates Auswirkungen auf die Leistungsfähigkeit der Prozessoren haben können. Ab der Serie Intel Core i-6000 (Skylake) sind die Einbußen gering. Bei älteren Prozessoren ist eine Verlangsamung zu vermerken. Microsoft hat hier dazu eine detaillierte Einschätzung gegeben: https://cloudblogs.microsoft.com/microsoftsecure/2018/01/09/understandin...
Intel hat eigene Benchmarks zur Einschränkung der Leistungsfähigkeit hier veröffentlicht: https://newsroom.intel.com/wp-content/uploads/sites/11/2018/01/Blog-Benc...

3. Rohde & Schwarz Cybersecurity Endpoint- und Managementprodukte

Wir von Rohde & Schwarz Cybersecurity empfehlen Folgendes: 

1.    Die jeweiligen Patches/Updates für die Plattform/das Betriebssystem zu installieren. Untenstehend ist eine Liste der Produkte, bei denen ein Update notwendig ist:

  • Browser in the Box
  • TrustedDisk
  • TrustedGate
  • TrustedIdentity Manager

2.    Die jeweiligen Betriebssystem-Patches/-Updates der Plattformen zu installieren, von denen mittels Browser auf die Managementkomponente zugegriffen wird. Untenstehend ist eine Liste der Produkte, bei denen ein Update notwendig ist:

  • CommandCenter
  • SITScope
  • TrustedObjects Manager

4. Kontaktieren Sie uns!

Falls Sie weitere Fragen haben bzw. Ihr von uns benutztes Produkt nicht aufgeführt ist, Sie aber nichtsdestotrotz Bedenken haben, dann kontaktieren Sie uns bitte.

Loggen Sie sich ein auf unserer Support-Seite

Oder schreiben Sie uns eine E-Mail
_________________________________________________________________________________________________________________________________________________________________________

Betrifft: Schwachstelle in Infineon Smartcard mit SLE78 Chip und TPM 1.2 SLB9655 der Serie FW 4.32

Ein Forscherteam hat eine Schwachstelle in Sicherheitschips des Herstellers Infineon entdeckt, die zur Erzeugung unsicherer RSA-Keys führt. Die Lücke soll sich in Infineon-Chips ab dem Herstellungsjahr 2012 befinden. Nachfolgend erfahren Sie, welche Produkte betroffen sind sowie einige Handlungsempfehlungen unsererseits.

Bitte beachten Sie, dass es sich dabei nicht um eine Schwachstelle in der Rohde & Schwarz Cybersecurity-Software handelt, sondern um eine in der des Herstellers Infineon.

  1. Kunden, die TrustedDisk und TrustedIdentity Manager mit Infineon Smartcards der Serie SLE78 (Produktreihe SLE66 und älter ist nicht betroffen) und der ATOS Firmware CardOS 5.X verwenden, empfehlen wir
  • diese ausschließlich mit der neuen gepatchten ATOS Middleware Version CardOS API 5.4 zu verwenden. Bei einer (Neu-) Personalisierung der Smartcard wird dadurch ein entsprechender Patch auf die Karte aufgebracht, der die Problematik behebt.
  • sowie die Firmware von bereits ausgerollten Smartcards mit Hilfe dieser Middleware zu patchen und neu zu personalisieren.

Die aktuelle CardOS API 5.4 stellen wir unseren Kunden über unseren Support zur Verfügung.

  1. Kunden mit dem TrustedObject Manager der Baureihe TOM - S (Revision 2), ausgeliefert 2014 – 2017. Diese Systeme haben einen Infineon TPM Chip TPM 1.2 SLB9655 der Baureihe FW 4.32 verbaut, der obige Schwachstelle enthält. Nach jetzigem Stand ist die Sicherheit der Systeme dadurch nicht unmittelbar gefährdet, da weitere Sicherheitsverfahren angewandt werden. Trotzdem empfehlen wir im Rahmen des nächsten TOM-Release-Updates den TPM-Chip zu patchen.
  2. Wir weisen darauf hin, dass der TOM – S (Rev. 2) nicht zur Nutzung in einer georedundanten Umgebung freigegeben ist. Kunden, die diese Version trotzdem in einer solchen Konfiguration einsetzen, empfehlen wir dringend die zusätzliche Absicherung der Verbindung, beispielsweise durch ein TrustedVPN, durchzuführen oder eine für diesen Einsatz freigegebene TOM L-Version einzusetzen.

Wir bedauern die Aufwände und Umstände, die bei Ihnen durch den Fehler in der Infineon-Smartcard-Firmware entstehen und stehen Ihnen für Fragen und weitere Informationen wie folgt zur Verfügung:

Uwe Dietzmann
Support Engineer | Customer Support
Telefon: +49 341 59403 012
E-Mail: uwe.dietzmann@rohde-schwarz.com

Freundliche Grüße

Rohde & Schwarz Cybersecurity GmbH

Call Back