frank
Goto Top

Meltdown und Spectre: Der Damm wird brechen

Der aktuelle Verlauf beim Thema Meltdown und Spectre ist aus IT-Sicht besorgniserregend.

Auch wenn viele User denken, dass Meltdown und Spectre nur ein aufgeblähter Hype war der längst gelöst ist, läuft die Zeit zum Beheben der Sicherheitslücke langsam ab. Sicherheitsforscher sehen immer mehr verdächtige Dateisamples, die mit den Schwachstellen von Meltdown und Spectre experimentieren (siehe Bild unten).

Laut Experten von AV-TEST, Fortinet und Minerva Labs experimentieren mehrere Hacker mit öffentlich freigegebenem Proof-of-Concept (PoC)-Code für die Schwachstellen von Meltdown (CVE-2017-5754) und Spectre (CVE-2017-5715, CVE-2017-5753).

Forscher von AV-TEST haben 139 verdächtige Dateisamples entdeckt, die mit den oben genannten CPU-Schwachstellen in Verbindung stehen.

Sobald der erste Hacker die Lücken aktiv auszunutzen kann, könnten über 95% aller IT-Systeme davon befallen werden. Da von den Firmen wie Intel, AMD und Microsoft kaum noch Informationen an die Öffentlichkeit gelangen, wird der Angriff kaum auf Widerstand stoßen.

Microsoft hat seine Patches zu Spectre zurückgezogen, die Motherboard Hersteller stagnieren bei der Erstellung neuer Bios/UEFI Versionen und Intel oder AMD liefert nur für aktuelle CPUs entsprechende Patches an die OEM-Händler. Einzig die Meltdown Variante wurde erfolgreich per Patches im Linux & BSD Kernel und unter Windows behoben.

Dem Enduser sollte bewusst sein, dass er aktuell nicht geschützt ist. Die Aussagen vieler Firmen, dass die Sicherheitslücke behoben wurde, ist schlichtweg falsch. Auch die Rechenzentren sind aktuell nicht vor allen Spectre Varianten geschützt.

Dummerweise interessiert es die Presse erst dann wieder, wenn der erste Hacker Erfolg hat. Einen öffentlichen Druck auf die Hersteller, die dafür verantwortlich sind, sehe ich aktuell leider nicht mehr. In unseren Köpfen ist das Thema leider schon wieder durch.

Hier eine beeindruckende Grafik, die zeigt, dass immer mehr verdächtige Dateisamples mit dem Ziel die Lücken auszunutzen, von den Hacker verteilt werden. Quelle Fortinet

graph

P.S. Die Zeitskala im Bild arbeitet mit Tagen und nicht mit Monaten

Gruß
Frank

Content-ID: 364738

Url: https://administrator.de/knowledge/meltdown-und-spectre-der-damm-wird-brechen-364738.html

Ausgedruckt am: 23.12.2024 um 07:12 Uhr

Lochkartenstanzer
Lochkartenstanzer 14.02.2018 aktualisiert um 10:46:25 Uhr
Goto Top
Ich rechne jeden Tag mit einem funktionierenden Exploit. Nur sind meine Möglichkeiten beschränkt, Druck auf irgendwelche Lieferanten auszuüben.
Penny.Cilin
Penny.Cilin 14.02.2018 aktualisiert um 10:56:12 Uhr
Goto Top
Moin Frank,
moin LKS,

sehe ich hier genauso. Leider wird die Gefahr seitens der Entscheidungsträger massiv heruntergespielt. Alleine solche Aussagen wie

  • dazu muss der / die Angreifer zuerst auf unsere Systeme kommen
  • wir sind mit Firewall / Virenscanner / DMZ geschützt

um nur mal zwei zu nennen.
Auch unsere Einwände bzgl. Nutzung von Browser / E-Mail Empfang werden nicht ausreichend zu Kenntnis bzw. Ernst genommen.
Derzeit sind wir verstärkt dabei die Anwender(innen) präventiv zu schulen / sensibilisieren, was natürlich Ressourcen bindet. Vermehrt bekommen wir Anfragen wegen verdächtigen E-Mails mit Anhängen bzw. Links, welche unsere Supporter prüfen müssen.

Gruss Penny
Voiper
Voiper 14.02.2018 um 11:07:13 Uhr
Goto Top
Ich versuche das Thema bei uns auch irgendwie aktuell zu halten aber da ist es wie mit allen Usern..."Ist ja bisher nix passiert, also was soll die Panik..."


Ich bin in gewisser Weise sogar gespannt drauf, welche Ausmaße das annehmen kann und vermutlich wird.

Gruß, V
StefanKittel
StefanKittel 14.02.2018, aktualisiert am 15.02.2018 um 00:11:14 Uhr
Goto Top
Hallo,

bei internen Netzwerken ist das Risiko "kalkulierbar".

Aber was macht man mit OWA und IIS-Web die öffentlich zugängig sein sollen/müssen?
Ich kann die öffentliche Webseite ja nicht hinter einem VPN verstecken.

Oder wenn man VPN von MS mit RAS verwendet?
Gibt es das überhaupt noch?

Btw.
Was ist eigentlich aus der WLAN-CRACK-Problematik geworden?
Ich hatte gerade ein paar Business WLAN-APs von DLink und TP-Link mit Firmware aus Mitte 2017. Updates gab es für die nicht.
Nur um ein Thema zu nennen was scheinbar auch verdrängt wird weil sich kein Hersteller darum schert.

Frage
Waren wir wirklich auf dem Mond?
Ist die Geiz-Ist-Geil-Mentalität schon so weit vorgeschritten dass dies echt Niemanden interessiert?
Hauptsache man hat Jemanden den man die Schuld geben kann.

Stefan
Voiper
Voiper 14.02.2018 um 11:23:07 Uhr
Goto Top
Frage
Waren wir wirklich auf dem Mond?
Ist die Geiz-Ist-Geil-Mentalität schon so weit vorgeschritten dass dies echt Niemanden interessiert?
Hauptsache man hat Jemanden den man die Schuld geben kann.

Muss ich aus der täglichen Erfahrung mit JA beantworten.
Penny.Cilin
Penny.Cilin 14.02.2018 um 11:39:41 Uhr
Goto Top
Da bin ich mit @Voiper der gleichen Meinung.
117471
117471 14.02.2018 aktualisiert um 12:09:54 Uhr
Goto Top
Hallo,

Aber was macht man mit OWA und IIS-Web die öffentlich zugängig sein sollen/müssen?

Ich hänge da immer einen Apache als reversen Proxy davor. SMTP läuft bei mir in der Regel auf Postfächer beim Hoster auf. Dort hole ich die E-Mails mit fetchmail (mit der "tracepolls" Option) und schiebe sie zum Exchanger.

Das hat z.B. den Charme, dass man E-Mails von verschiedenen Postfächern auf ein Exchange-Konto schieben kann und der Anwender die E-Mails mit serverseitigen Filterregeln "schön sauber" anhand der Tracedaten im Header in entsprechende Unterordner einsortieren kann. Unabhängig davon, ob seine E-Mail-Adresse im To:, CC: oder BCC: steht.

Gruß,
Jörg
departure69
departure69 14.02.2018 um 12:15:01 Uhr
Goto Top
@Frank:

Hallo.

Hhmmm, gut, daß Du das immer wieder in den Vordergrund holst und von Neuem davor warnst.

Jedoch:

Was kann ich tun? Ich bin derzeit noch viel stärker als sonst ohnehin schon bestrebt, alle verfügbaren Betriebssystemupdates und Updates von jeglicher Anwendungssoftware zeitnah zu installieren/aktualisieren. Das habe ich im Griff. Und ich weiß, daß dies alleine nicht ausreicht.

Doch von den Hardwareherstellern (in unserem Fall zu 85% Fujitsu) kommt - so gut wie - nichts. Zu den 65 FAT-Clients und circa 10 -12 Hardwareservern, die ich direkt betreue, habe ich bislang für 3 (!) Clients BIOS-Updates gefunden/erhalten und eingespielt. Das Problem ist, daß die meisten Geräte zwar noch nicht steinalt sind, aber zumindest so alt (das geht mitunter bei einem Alter von 3 Jahren schon los), daß sie offiziell nicht mehr supportet werden. Und somit gibt's auch keine BIOS-Updates mehr für diese Geräte.

Davon abgesehen, daß ich meinem Finanzchef nicht ernsthaft mit der Forderung unter die Augen treten kann, alle Geräte gegen neue, für die es BIOS-Updates gibt, auszutauschen (der würde mir mit dem nackten Hintern ins Gesicht springen), erhielte ich so neue Clients und Server, die das Problem immer noch haben, bloß das es Fixes in Form von BIOS-Updates gibt.

Ich habe gelesen, daß die neue(n) CPU-Generation(en), die das Problem von Beginn an gar nicht mehr haben (also ohne dafür ein BIOS-Update zu benötigen), nicht vor 2019 auf den Markt kommen wird, gleichgültig, ob Intel oder AMD. Tausche ich jetzt also alle Maschinen gegen brandaktuelle, kaufe ich immer noch Hardware, die fehlerhaft ist!

Wenn diese Chose schiefgeht, bin am Ende ohnehin ich der Schuldige, jedwedes Argument, mit dem ich mich verteidigen könnte, würde mir als Ausrede ausgelegt, und wie das ein Arbeitsrichter sehen würde, ist fraglich. Ich halt' schon mal nach einem anderen Job Ausschau, ich habe gelesen, daß Uber Taxifahrer sucht. face-wink


Viele Grüße

von

departure69
Penny.Cilin
Penny.Cilin 14.02.2018 um 12:31:21 Uhr
Goto Top
Zitat von @departure69:

Ich halt' schon mal nach einem anderen Job Ausschau, ich habe gelesen, daß Uber Taxifahrer sucht. face-wink
Ich habe schon meine Bewerbung als Gassekehrer agegeben. Man verdient zwar nicht soviel Geld, wenn der Besen kaputt ist, muss mir das Werkzeugmanagement den reparieren oder einen neuen beschaffen.

back-to-topHast 'n icket, haste 'n Auftrach?
back-to-topNO Ticket NO Trouble
> Viele Grüße

von

departure69

Gruss Penny
Frank
Frank 14.02.2018 aktualisiert um 13:37:15 Uhr
Goto Top
@departure69

Was kann ich tun? ...

Ehrlich gesagt, weiß ich das auch nicht so genau. Technisch sind wir auf die Firmen, die es verursacht haben, angewiesen. Die liefern aber leider nicht oder nur lückenhaft. Wir müssten den Druck auf die Hersteller erhöhen, auch den Druck auf die Vorgesetzten.

Ich denke die beste Art sich aktuell abzusichern ist etwas schriftliches. Für alle die Ihren Vorgesetzten in naher Zukunft loswerden wollen (Scherz), setzt ein Schreiben mit Euren Bedenken und den Gefahren der Sicherheitslücke auf und schickt es dem Vorgesetzten. Wenn später Angriffe auf diese Lücken kommen, seid ihr wenigstens abgesichert und der Vorgesetzte muss sich erklären. Er wusste durch euer Schreiben von dem Problem und kann sich dann schlecht raus reden. Ähnliche Schreiben kann man erstellen, wenn man als Externer für eine Firma arbeitet. Den Vorgesetzten und den Firmen muss klar sein, dass das Problem noch nicht gelöst ist.

Denn die Medien suggerieren leider genau das. Ich habe gerade auf einen Tweet von T-Systems geantwortet, die doch glatt behaupten, ihre Kunden sind geschützt - sind Sie es auch? Das ist technisch gesehen, einfach Bullshit und falsch.

Gruß
Frank
Penny.Cilin
Penny.Cilin 14.02.2018 um 13:06:12 Uhr
Goto Top
Tja man versucht halt den KUNDEN für dumm zu verkaufen. Dumm nur, wenn dann IT Erfahrene das nicht so sehen, wie in Deinem Fall.

Gruss Penny
StefanKittel
StefanKittel 14.02.2018 aktualisiert um 13:15:41 Uhr
Goto Top
AWS behauptet auch, dass alle deren System gepatcht und geschützt sind.
Frank
Frank 14.02.2018 aktualisiert um 13:37:42 Uhr
Goto Top
Zitat von @StefanKittel:

AWS behauptet auch, dass alle deren System gepatcht und geschützt sind.

In ihren Träumen vielleicht. Hier der aktuelle Status:

Meltdown kann man aktuell patchen.

Spectre Variante 1 Es gibt Lösungsansätze durch Compiler Anpassungen. Diese setzen aber voraus, dass das System komplett neu kompiliert wird. Soweit ist weder Linux, noch BSD (Apple) und schon gar nicht Windows. Die Browser Safari (Mac), Chrome 64 und Firefox 57 wurde bereits gegen Spectre Variante 1geschützt.

Spectre Variante 2 kann aktuell nur in Kombination mit einem Microcode-Update realisiert werden. Da Microsoft und auch Intel ihre Patches teilweise zurückgezogen haben und die Microcode-Update in die Bios/UEFI eingepflegt werden müssten ist hier der Status völlig unbekannt. Viele Desktop- oder Server Motherboards werden niemals neue Firmeware bekommen. Dieser Lösungsweg ist aus meiner Sicht eine Sackgasse.

Google hat einen alternativen Patch gegen Spectre Variante 2 vorgestellt: "retpoline". Dieser ist in den Google-Systemen, laut eigenen Aussagen, bereits integriert. "retpoline" würde keine Firmeware Updates benötigen, ist ein reiner Softwarepatch und wäre aus meiner Sicht die sinnvollste Lösung.

Microsoft hat bisher aber kein Interesse daran gezeigt und schiebt das Problem zurück zu Intel oder den Motherboard Herstellern. In Linux ist retpoline seit Kernel 4.14.13 eingebaut. Allerdings ist noch nicht bekannt, ob retpoline auch wirklich gegen einen Angriff schützt, daher markiert Linux "retpoline" auch nur als "Minimal generic ASM retpoline".

Da es sich generell um eine neue Angriffsklasse handelt, sollte man die Patches nur als eine Art Abschwächung für das Ausnutzen des Prozessorfehlers ansehen

Gruß
Frank
Freak-On-Silicon
Freak-On-Silicon 14.02.2018 um 13:48:16 Uhr
Goto Top
Hallo;

Kann mich wer aufklären, inwiefern ein "Hacker" diese Lücken ausnutzen kann?

Wie weit muss jemand im System sein um es wirklich auszunutzen?

Mfg
Frank
Frank 14.02.2018 um 13:57:03 Uhr
Goto Top
Hi @Freak-On-Silicon

Kann mich wer aufklären, inwiefern ein "Hacker" diese Lücken ausnutzen kann?

Aktuell noch gar nicht. Wenn du dir aber oben im Beitrag die Grafik anschaust, siehst du, wie die Hacker fieberhaft daran arbeiten Meltdown und Spectre auszunutzen. Sollte das passieren wird eine Maleware, ein Trojaner oder ein Virus auf verschiedenen Wegen zu dir gelangen. Dummerweise sind ein Großteil aller IT-Systeme auf der Welt noch nicht gegen Spectre geschützt. Für Meltdown gibt es zwar Patches, diese müssen aber auch eingespielt sein.

Gruß
Frank
Voiper
Voiper 14.02.2018 um 13:58:30 Uhr
Goto Top
Zitat von @Freak-On-Silicon:

Hallo;

Kann mich wer aufklären, inwiefern ein "Hacker" diese Lücken ausnutzen kann?

Eine ungefähre Erklärung, was Spectre und Meltdown sind findet man hier: Link
Sheogorath
Sheogorath 14.02.2018 aktualisiert um 14:18:40 Uhr
Goto Top
Moin,

Wie weit muss jemand im System sein um es wirklich auszunutzen?

Also im Moment ist das Ganze noch halb hypothetisch. Man geht aber davon aus, dass es, sobald es geht, reicht ein bisschen passend präpariertes JS im Browser auszuführen oder eine böse Mail in einem verwundbaren Mailprogramm zu öffnen.

Was angesichts der kürzlich aufgetretenen Welle an cryptominern und anderem Unsinn auf Regierungs- und Privatseiten, sowie in Werbeanzeigen ala Google Ads, dann eigentlich nur noch ein Problem der Lieferung ist.

Was können diese Lücken? Lesen. Klingt unspektakulär, wenn man aber ALLES lesen kann, wird das schon wieder interessant. Denn es bricht halt einfach mal auf Hardwareebene mal eben alle Schutz- und Isolationsmechanismen, die man in den letzten Jahren aufgebaut hat.

Was übrigens für VMs genauso gilt wie für Hardwaremaschinen. Sprich ist eine Maschine auf einem V-Host betroffen, sind alle betroffen.

Es wird spannend in den nächsten Wochen face-smile

Aber zum Glück haben wir ja viele Menschen auf der Welt, die eh nichts zu verbergen haben… Wofür also die Mühe? Bank-Daten? Pff… Persönliche Nachrichten? Who cares… Alle Passwörter? Wer brauchts…? Firmengeheimnisse? Dass wir nicht lachen!

In diesem Sinne

Gruß
Chris
VGem-e
VGem-e 14.02.2018 um 16:00:49 Uhr
Goto Top
Servus,

das mit den aktulisierten Prozessoren schon 2019 glaube ich erst, wenn Intel und AMD dies auch so schriftlich bestätigen!

War da nicht sogar die Rede davon, dass frühestens 2020 solche Hardware verfügbar sein wird?

Bei den Servern ist 2020 bei uns wohl ein Austausch fällig, dann ist dieses Problem damit hoffentlich aus der Welt. Bei den Clients geht es mir wie wohl vielen Kollegen, dass vieles angekündigt, aber noch kaum etwas an Updates von den Anbietern wie Fujitsu veröffentlicht wurde.

Gruß
VGem-e
monstermania
monstermania 14.02.2018 aktualisiert um 17:11:13 Uhr
Goto Top
Zitat von @StefanKittel:
Btw.
Was ist eigentlich aus der WLAN-CRACK-Problematik geworden?
Ich hatte gerade ein paar Business WLAN-APs von DLink und TP-Link mit Firmware aus Mitte 2017. Updates gab es für die nicht.

Leider wieder eine dieser pauschalen Aussagen. face-wink

Nicht jedes WLAN-Gerät ist grundsätzlich von 'Krack' betroffen. So sind sehr viele reine AP schon mal gar nicht betroffen. Die Lücke betrifft viel mehr WLAN-Endgeräte oder WLAN-Repeater. Problematisch ist natürlich dass viele Geräte mehrere Betriebsmodes unterstützen (z.B. AP, Bridge, Repeater).
So kann ein Gerät im reinen AP-Mode nicht von der Lücke betroffen sein, wenn das gleiche Gerät aber als Repeater läuft sehr wohl.
Eine Aussage ob und in welchem Betriebsmode betroffen ist findet man häufig auf den Seiten der Hersteller.
Ich habe dort z.B. nachlesen können, dass mein TP-LINK 801 als reiner AP nicht von Krack betroffen ist.
Nichtsdestotrotz bleibt ein sehr schlechtes Gefühl. Zumal es für meine genutzten Endgeräte keine Updates mehr gibt! Ich sehe es aber auch nicht ein mir jetzt mal eben ein neues Smartphone/Tablet/usw. zu kaufen wenn die Teile problemlos funktionieren.
chgorges
chgorges 14.02.2018 um 22:57:01 Uhr
Goto Top
Zitat von @monstermania:

Zitat von @StefanKittel:
Btw.
Was ist eigentlich aus der WLAN-CRACK-Problematik geworden?
Ich hatte gerade ein paar Business WLAN-APs von DLink und TP-Link mit Firmware aus Mitte 2017. Updates gab es für die nicht.

Leider wieder eine dieser pauschalen Aussagen. face-wink

Nicht jedes WLAN-Gerät ist grundsätzlich von 'Krack' betroffen. So sind sehr viele reine AP schon mal gar nicht betroffen. Die Lücke betrifft viel mehr WLAN-Endgeräte oder WLAN-Repeater. Problematisch ist natürlich dass viele Geräte mehrere Betriebsmodes unterstützen (z.B. AP, Bridge, Repeater).
So kann ein Gerät im reinen AP-Mode nicht von der Lücke betroffen sein, wenn das gleiche Gerät aber als Repeater läuft sehr wohl.
Eine Aussage ob und in welchem Betriebsmode betroffen ist findet man häufig auf den Seiten der Hersteller.
Ich habe dort z.B. nachlesen können, dass mein TP-LINK 801 als reiner AP nicht von Krack betroffen ist.
Nichtsdestotrotz bleibt ein sehr schlechtes Gefühl. Zumal es für meine genutzten Endgeräte keine Updates mehr gibt! Ich sehe es aber auch nicht ein mir jetzt mal eben ein neues Smartphone/Tablet/usw. zu kaufen wenn die Teile problemlos funktionieren.

Dein kompletter Post ist absoluter Mist und zeigt, dass sich über KRACK genauso wenig informiert wurde, wie über Spectre & Meltdown.
Bei KRACK sind exakt zwei Unterstandards des 802.11-Standards betroffen, 802.11s und 802.11r. Diese betreffen das FastRoaming und VoiceOverWLAN.
Und restlos alle reinen Business-AccessPoints beherrschen r und s, Consumer-Sch*** wie TP-Link und D-Link nicht. Deshalb gibt es für den Consumer-Mist auch keine Updates, da nicht erforderlich. Selbes gilt für Speedports und Fritten.
Und ja, es ist eine Client-Side-Attack, weshalb Betriebssysteme auch gepatcht wurden, aber das ist, wie bei Spectre & Meltdown, auch nur die halbe Miete, weil die Hardware mitgenommen werden muss.
Frank
Frank 14.02.2018 aktualisiert um 23:11:16 Uhr
Goto Top
ähh, könnt ihr das Thema "WLAN-KRACK" bitte in einem eigenen Thread diskutieren (und mit etwas mehr Respekt und Höflichkeit bitte). Hier geht es hauptsächlich um Spectre und Meltdown.

P.S. Hier findet ihr alle Details über KRACK (Key Reinstallation Attacks)

Danke face-smile

Gruß
Frank
Webmaster
Freak-On-Silicon
Freak-On-Silicon 15.02.2018 um 09:04:40 Uhr
Goto Top
Das es aktuell noch nichts gibt, war mir klar, nur ich frag mich eben was passieren könnte.
Das scheint irgendwie ja auch noch keiner zu wissen.
Freak-On-Silicon
Freak-On-Silicon 15.02.2018 um 09:06:02 Uhr
Goto Top
Ok, verstehe.

Aber ohne Adminrechte?
Voiper
Voiper 15.02.2018 um 09:37:25 Uhr
Goto Top
Zitat von @Freak-On-Silicon:

Ok, verstehe.

Aber ohne Adminrechte?
Nutz mal die Zitat-Funktion. Das sieht nach Selbstgespräch aus ;)
Sheogorath
Sheogorath 15.02.2018 um 12:13:33 Uhr
Goto Top
Zitat von @Freak-On-Silicon:

Aber ohne Adminrechte?

Das ist ja genau das Problem. Die Lücke funktioniert an allen Sicherheitsmechanismen des Betriebssystems vorbei, da es auf Hardware-/Firmwareebene vorliegt.

Aktuell versucht man hier eben durch verschleiern von Speicheradressen schlimmeres zu verhindern, aber das halt auch eher verstecken statt bekämpfen.

Nutz mal die Zitat-Funktion. Das sieht nach Selbstgespräch aus ;)

Threading ;) Man muss halt am Kopf schauen worauf derjenige Anwortet ;)

Gruß
Chris
Freak-On-Silicon
Freak-On-Silicon 15.02.2018 um 13:35:38 Uhr
Goto Top
Zitat von @Voiper:

Zitat von @Freak-On-Silicon:

Ok, verstehe.

Aber ohne Adminrechte?
Nutz mal die Zitat-Funktion. Das sieht nach Selbstgespräch aus ;)

Sorry, ist bisserl ungewohnt hier face-smile
Freak-On-Silicon
Freak-On-Silicon 15.02.2018 um 13:36:23 Uhr
Goto Top
Zitat von @Sheogorath:

Zitat von @Freak-On-Silicon:

Aber ohne Adminrechte?

Das ist ja genau das Problem. Die Lücke funktioniert an allen Sicherheitsmechanismen des Betriebssystems vorbei, da es auf Hardware-/Firmwareebene vorliegt.

Aktuell versucht man hier eben durch verschleiern von Speicheradressen schlimmeres zu verhindern, aber das halt auch eher verstecken statt bekämpfen.


Gruß
Chris

Ok, verstehe.
Danke schonmal
keine-ahnung
keine-ahnung 15.02.2018 um 16:14:25 Uhr
Goto Top
Moin,
IMHO gibt es schon einen wirkungsvollen Schutz gegen die Auswirkungen der CPU-Schwachstellen. Nur bringen es die wenigsten auf die Reihe, das Gedöhns richtig anzuwenden. Hier eine simple Anleitung ...

LG, Thomas
Voiper
Voiper 15.02.2018 um 16:29:15 Uhr
Goto Top
Zitat von @keine-ahnung:

Moin,
IMHO gibt es schon einen wirkungsvollen Schutz gegen die Auswirkungen der CPU-Schwachstellen. Nur bringen es die wenigsten auf die Reihe, das Gedöhns richtig anzuwenden. Hier eine simple Anleitung ...

LG, Thomas

Mega....grad mit nem Kollegen drüber Diskutiert und den Link aufgemacht. Es ist noch nicht Freitag ;)

Gruß, V
em-pie
em-pie 15.02.2018 um 16:33:19 Uhr
Goto Top
@keine-ahnung.
Entweder bekommen die es nicht hin oder denen geht es am A...llerwertesten vorbei...
So oder so für'n Arsch


SPannend bei der ganzen Spectre/ Meltdown-Thematik ist natürlich, wenn die bösen Buben es dann mal erfolgreich schaffen, die Lücken auszunutzen und als nächstes Ziel dann die ganzen UTM/ Storages avisieren, die eine Intel-CPU verbaut haben.

Dann kommt da eine Antiviren-Engine aus der UTM daher, scannt den Mail-Anhang und fängt sich dabei womöglich selbst den Mist ein (mal unabhängig, ob das tatsächlich so funktionieren würde. Geht mir hier eher um die Auswirkung des "das")
Vancouverona
Vancouverona 19.02.2018 um 12:00:02 Uhr
Goto Top
Hier möchte ich gerne mal einhaken....

Welche Angriffsszenarien sind denkbar?

  1. Ich bekomme eine "böse Datei" per Mail. Das lässt sich doch per Mailfilter und Virenscanner einigermaßen abfangen. Dazu noch Office Makros deaktivieren (falls doch etwas durchkommt).
  2. Ich bekomme eine Mail mit einem Link zugeschickt, der auf eine "böse Datei" zeigt, mit der Bitte, diesen doch anzuklicken. Auch das läßt sich per Mailfilter hinreichend für ausführbare Dateien abfangen. Dazu sind die wesentlichen Browser inzwischen zumindest "Meltdown und Spectre aware"...
  3. Die USB-Laufwerke sind bis auf ein paar Ausnahmen deaktiviert. In den "offenen" Fällen dürfen von dort keine ausführbaren Dateien gestartet werden.

Und sonst?
  • Welche Dateien in meinem Netz tatsächlich ausführbar sind, lässt sich per Gruppenrichtlinie einrichten;
  • schule ich meine Mitarbeiter, nicht auf jeden Mist zu klicken;
  • Bleibt die Frage: Wie hacke ich meinen OWA Server?

Oder übersehe ich da was grundlegendes?
StefanKittel
StefanKittel 19.02.2018 um 12:09:31 Uhr
Goto Top
Hallo,

es reicht theoretisch eine HTML-formatierte Email ohne "direkt bösen" Inhalt.

Das gleiche gilt für Internetseiten mit HTML und Javascript.
Es könnte ein sinnloses Skript mit harmlosen Befehlen sein.
Dieses fürt 100mal hintereinander einen harmlosen Befehl aus und Zack - Tot.

Auch wäre ein Angriff aus dem LAN auf SMB oder RDP möglich.
Ein "harmloses" Smartphone im internen WLAN weil der GF ja direkt auf die Dateien auf dem Server zugreifen muss.

Webseiten die im öffentlich Internet erreichbar sind, sind prinzipbedingt anfällig.
OWA, IIS, Sharepoint, etc. Oder FTP- und WebDAV-Server.

Viele lässt sich in größeren Firme abdecken.
Aber viele kleine Firmen haben weder Firewall noch VLANs.

Stefan
DerWoWusste
DerWoWusste 02.03.2018 um 17:19:41 Uhr
Goto Top
Kurzinfo: Microsoft Updates KB4091290 und KB4090007
->Microsoft hat nun für einige CPUs Microcodeupdates rausgebracht.