Meltdown, Spectre: Antiviren-Software prüfen, Patches einspielen, Schutz verifizieren

    , 09.01.2018
    Tags: , ,

    Meltdown und Spectre (CVE-2017-5753, CVE-2017-5715, CVE-2017-5754)Hersteller von Betriebs­systemen versuchen, die kürzlich entdeckten Schwach­stellen in den Chips von Intel, AMD und ARM durch Patches abzu­schirmen. Probleme können dabei aber Anti­virus-Lösungen bereiten. Micro­soft stellte neben Security-Updates ein Script zur Ver­fügung, das die Anfäl­ligkeit eines PCs unter­sucht.

    Die offiziell als Speculative Execution Side-Channel Vulnerabilities bezeich­neten Schwach­stellen (CVE-2017-5753, CVE-2017-5715 und CVE-2017-5754) eröffnen Angreifern die Möglichkeit, selbst mit Programmen, die im User Mode laufen, Speicher­bereiche anderer Anwendungen, VMs oder gar des Kernels auszulesen. Besonders problematisch ist diese Sicherheitslücke in Multiuser-Umgebungen wie einem Session Host oder beim Hosting, wo VMs mehrerer Mandanten auf einem Server laufen.

    Liste der CPUs und Patches

    Da es sich bei Speculative Execution und Indirect Branch Prediction um Features zur Steigerung der Performance handelt, liegt es auf der Hand, dass ihre Deaktivierung auf Kosten der Leistungs­fähigkeit geht. Während die Folgen auf einer Workstation kaum spürbar sein dürften, muss man auf einem stark ausgelasteten virtualisierten Server wohl mit Einbußen rechnen.

    Intel hat eine Liste sämtlicher Prozessoren veröffentlicht, die von der Schwachstelle betroffen sind. Darunter finden sich auch fast alle Chips der letzten Generationen.

    Abhängig vom eingesetzten Patch-Management wird der von Microsoft bereitgestellte Security-Fix automatisch eingespielt oder nachdem er vom WSUS-Admin freigegeben wurde. Es handelt sich dabei um:

    Für Windows Server 2008 und 2012 liegt kein Patch vor.

    Update: Microsoft hat die Auslieferung der Patches für Rechner mit bestimmten AMD-CPUs gestoppt, weil die PCs einiger Kunden nach dem Update nicht mehr starteten.

    Kein Patch bei inkompatiblen Antiviren-Programmen

    Bevor man den Security-Fix verteilt, sollte man sicherstellen, dass auf den Systemen ein Virenscanner läuft, der mit dem Patch kompatibel ist. Einige dieser Sicherheits­produkte nutzen nämlich nicht unterstützte Aufrufe in den Windows-Kernel. Dies kann dazu führen, dass der Rechner nach dem Einspielen des Updates nicht mehr bootet.

    Um das zu verhindern, verlangt Microsoft von den Anbietern der Antiviren-Software, dass sie einen bestimmten Wert in die Registry schreiben, der die Kompatibilität mit dem Patch attestiert. Andernfalls lässt sich das Update nicht installieren, welches nebenbei auch noch Sicherheits­lücken von SMB schließt.

    Liste von Antiviren-Lösungen, die mit dem Patch für speculative execution side-channel vulnerabilities kompatibel sind.

    Eine Reihe von bekannten Anbietern hat diese Hürde noch nicht genommen, wie dieses Spreadsheet von Kevin Beaumont zeigt. Wenn man das Vorhanden­sein dieses Registry-Schlüssels prüfen möchte, dann kann man das mit PowerShell so tun:

    Get-Item HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat

    Der Befehl sollte den Schlüssel cadca5fe-87d3-4b96-b7fb-a231484277cc mit dem Wert 0 anzeigen.

    Auslesen des Kompatibilitätsschlüssels für Antivirenprogramme aus der Registry.

    Bedeutsam ist dieser Eintrag in die Registrier­datenbank über den aktuellen Patch hinaus. Nachdem Updates für Windows kumulativ sind, erhalten Rechner ohne diesen Key künftig keine Security-Updates mehr (siehe dazu dieses Support-Dokument von Microsoft).

    Vorgehen bei Windows Server

    Die Einrichtung der Schutz­mechanismen unter Windows Server unterscheidet sich von jener auf dem Client, weil das bloße Anwenden des Patches dort nicht reicht. Wie auf einer Workstation muss man aber auch dort erst sicher­stellen, dass eine vorhandene Antivirenlösung den erforderlichen Key in die Registrier­datenbank geschrieben hat.

    Dieser Support-Leitfaden weist darauf hin, wie Anwender nach der Installation des Updates die Funktionen gegen die Ausnutzung von Meltdown und Spectre einschalten können. Microsoft legt seinen Kunden vor allem bei Remote Desktop Session Hosts (RDSH) und Maschinen mit aktivierter Hyper-V-Rolle nahe, dies zu tun. Die Aktivierung erfolgt über drei Registry-Schlüssel.

    Auch dieses Dokument wiederholt, dass die Patches auf OS-Ebene alleine nicht ausreichen. Zusätzlich erforderlich sind Upgrades der Firmware, die durch den Lieferanten der Hardware bereitgestellt werden sollten. Dieser Prozess ist aktuell noch in seinen Anfängen.

    Schutzstatus mit Script prüfen

    Nachdem also gleich mehrere Schutzschilde für zwei Schwachstellen erforderlich sind, wird sich in der Praxis nicht so einfach feststellen lassen, ob ein Rechner ausreichend abgesichert wurde oder noch Lücken aufweist.

    Aus diesem Grund stellte Microsoft ein PowerShell-Script zur Verfügung, welches das Vorhandensein aller Mechanismen prüft. Es kann von der TechNet-Gallery heruntergeladen werden.

    Prüfung des Schutzes gegen die Ausnutzung von Meltdown und Spectre.

    Bevor man es ausführt, sollte man sicherstellen, dass die Execution-Policy zumindest auf RemoteSigned gesetzt ist. Danach entpackt man die ZIP-Datei in ein Verzeichnis, wechselt dorthin und lädt das Modul mit dem Befehl

    Import-Module .\SpeculationControl.psd1

    Anschließend führt man

    Get-SpeculationControlSettings

    aus. Administrative Rechte sind dafür nicht erforderlich.

    Defizite in der Konfiguration erscheinen in roter Schrift, ein optimales Ergebnis erreicht man nur durch eine Kombination von Firmware- und OS-Update.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Ähnliche Beiträge

    Weitere Links

    2 Kommentare

    Harald Goci (Besucher) sagt:
    10. Januar 2018 - 10:44

    Gem. Intel Homepage ist das Detection-Tool für INTEL-SA-00086 nicht für Meltdown und Spectre (INTEL-SA-00088 !):
    In response to issues identified by external researchers, Intel has performed an in-depth comprehensive security review of our Intel® Management Engine (ME), Intel® Server Platform Services (SPS), and Intel® Trusted Execution Engine (TXE) with the objective of enhancing firmware resilience.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut sagt:
    10. Januar 2018 - 11:15

    Korrekt, danke für den Hinweis! Habe den Link auf das Tool rausgenommen.