Security Info: Meltdown & Spectre – gravierende Sicherheitslücke in Prozessoren

Security Info: Meltdown & Spectre – gravierende Sicherheitslücke in Prozessoren

Du hast vermutlich in der Presse schon etwas von der Sicherheitslücke in Prozessoren (CPU) von Intel, AMD und ARM gehört.

Solltest du einen PC mit einem der betroffenen Prozessoren besitzen – was der Fall sein wird – dann bist du von dieser Lücke betroffen.
Angreifer können in diesem Fall, über einen Schadcode, an sensible Informationen deines PCs kommen.

Entdeckung

Entdeckt wurde diese Lücke vom Google Project Zero bereits Mitte 2017. Die betroffenen Hersteller wurden am 1.6.2017 über die Lückeinformiert.

Project Zero ist der Name eines Teams aus Sicherheits Analysten von Google deren Aufgabe es ist, zero-day Anfälligkeiten zu finden. Diese Auffälligkeiten werden dann an die Hersteller gemeldet. Die Lücke wird erst veröffentlicht, wenn der Hersteller einen Patch heraus gegeben hat – oder aber 90 Tage nach Meldung an den Hersteller, sollte dieser nicht reagieren.
In diesem Fall hat Google den Termin verlängert, da der Fehler in der Hardware (Prozessor) liegt und daher nicht zu beheben ist. Hier muss über Patche auf Betriebssystem (OS) Ebene die Ausnutzung der Lücke unterbunden werden.
Da im Prinzip alle großen CPU Hersteller, sowie deren sämtliche Produkte, betroffen sind, mussten eine große Anzahl von OS Herstellern mit ins Boot genommen werden um Updates zu liefern. Betroffen sind unter anderem Window, Linux, MacOS, iOS und Android. Ja, auch Ihre Smartphones sind betroffen!

Um was geht es?

Prozessoren bieten zur Performance Optimierung die Funktion ‚Speculative Execution‘ – hierbei versucht der Prozessor vorauszusagen, welche Anweisungen ein Prozess in Zukunft geben wird – und hält für diese Berechnungen dann ein Ergebnis bereit.
Die Ausführung kann parallel erfolgen, dadurch steigt die Verarbeitungsgeschwindigkeit da Wartezeiten vermieden werden. Sollte die Berechnung nicht angefragt, bzw. das Ergebnis nicht benötigt werden, wird dieses einfach verworfen.
Die Ergebnisse stehen dabei im Speicher der CPU selbst. Dieses Funktion ist ein Hardware Feature – hierfür wird kein Bestandteil des OS benötigt.

Das OS selbst läuft in einem priviligierten Kern, dem sogenannten ‚Kernel‘, dieser managed das komplette System, startet und stoppt Anwendungen und Dienste, kümmert sich um Sicherheitseinstellungen, managed den Speicher und separiert hier eine Anwendungen gegen die anderen Anwendungen.

Neben dem Kernel laufen alle Prozesse bzw. Anwendungen im sogenannten ‚Userland‘ – hier können die Anwendungen miteinander Informationen austauschen, aber nur wenn sich beide Seiten darauf verständigen.
Der Kernel ist dafür verantwortlich, dass diese Bereiche voneinander getrennt sind, Prozesse nicht auf Informationen zugreifen zu denen sie nicht berechtigt sind und schon gar nicht auf priviligierte Bereiche des Kernels zugreifen können.
Malware, Viren und Konsorten versuchen hier durch Lücken genau diese Kernel Aufgabe zu behindern oder ganz auszuschalten.

In allen CPUs wiederum gibt es verschiedene ‚privilege levels‘ – also Sicherheitsebenen. Intel nennt diese Ebenen ‚rings‘.
Die Hardware bietet 4 Ringe, das OS nutzt in der Regel davon 2:
Ring 0 hat die höchsten Rechte und Ring 3 die niedrigsten Rechte. Hardwareseitig sind diese Ringe voneiander insoliert und können von oben nach unten kontrolliert werden.
Ring 0 kann Ring 3 manipulieren, aber nicht umgekehrt.

Der Kernel läuft in Ring 0 und das Userland in Ring 3. In der Theorie verhindert hier also schon der Prozesor auf Hardwareebene den Zugriff von Ring 3 auf Ring 0, entsprechende Anfragen auf Maschinen Code Ebene werden geblockt.

Das Ziel hinter einer theoretischen Attacke war die Überlegung, dass durch ‚Speculative Execution‘ möglicherweise Ergebnisse im Speicher vorhanden sein könnten, wobei durch die Ring Isolierung zwar der Zugriff auf das Ergebnis in der normalen Programmausführung blockiert werden würde, aber man parallel dazu einen Seiten Kanal der CPUs nutzen könnte um an den Inhalt des Speicher zu kommen.

Hat geklappt, gefunden hat man dann sogar gleich 3 verschiedene Möglichkeiten, diesen Speicher auszulesen:

Variante 1 und Variante 2 sind bekannt als Spectre
Variante 2 ist bekannt als Meltdown

Die Lücke(n) wurden parallel zu der Entdeckung durch Google auch durch andere Forscher erkundet – daher stammen auch die hübschen Namen.

Zu allen 3 Lücken gibt es (derzeit) keine Schadsoftware welche diese Lücken ausnutzt. Zu jeder Lücke gibt ein ein ‚Proof of Concept‘ (PoC) von Google – hier ist damit daher zu rechnen, dann in sehr naher Zukunft entsprechende Exploits folgen werden.

Was kann passieren?

Was kann dir – und allen anderen Nutzern und Betreiber von Computern, Servern, mobilen Devices – passieren?
Durch die Ausnutzung der Lücke kann sich ein Angreifer Zugriff auf sensible Daten beschaffen, Passwörter, PINs und TANs, Crypto Schlüssel etc.

Für einen erfolgreichen Angriff benötigt der Angreifer Zugriff einen Prozess auf dem betroffenen PC. Dieser Prozess kann über eine Schadsoftware generiert werden, oder ein bestehender Prozess kann genutzt werden. Ein Beispiel für einen solchen Angriff wäre das Ausführen von Schadcode beim Besuch einer infizierten Webseite, ausführen von Code in einer HTML Mail, ausführen von Code in einer infizierten Word Datei (Makro).

Ja, das ist so schlimm wie es sich anhört.

Hier ein Video eines solchen Angriffs

Welche Systeme sind betroffen?

Fast alle Computersysteme sind betroffen:

  • Desktops
  • Laptops
  • Server
  • Mobile Geräte: Tablets, Handys
  • Cloud Server: Azure, Google, AWS und weitere
  • Virtualisierungsumgebungen: Xen, VMWare, Docker, OpenVZ, und weitere

Was kann ich machen?

Da das Problem bei dieser Lücke ist, dass sie in der Hardware liegt, dieses hier aber nicht gelöst werden kann, muss ein Patch auf der OS Seite erfolgen.
In zukünftigen Versionen der CPUs wird dieser Fehler dann in der Hardware behoben sein, also ist der Austausch der Hardware eine weitere Möglichkeit.

Die Hersteller haben oder werden in Kürze hier Patche zur Verfügung stellen – diese solltest du unbedingt zeitnah einspielen!

Problematisch wird das Update dort, wo der OS Hersteller keinen Patch mehr liefert, einige Nutzer von Android Handies werden hier feststellen, dass ihre Geräte nicht mehr mit Updates versorgt werden. In diesem Fall hilft nur ‚Augen zu und durch‘ oder der Wechsel auf eine andere Hardware.

Windows:

Gepatcht in KB4056890

Wichtiger Hinweise:

Bitte beachte, dass dieser Patch in gewissen Umgebungen nicht angeboten wird! Du erhalst das Update nur dann angezeigt, wenn deine Anti-Virus Software den ‚ALLOW REGKEY‘ gesetzt hat. Im Zweifel kontaktiere den Anbieter deiner Anti Virus Lösung!

Apple:

Gepatcht in iOS 11.2, macOX 10.13.2 und tvOS 11.2 – die Apple Watch ist nicht betroffen

Firefox:

Gepatcht in Version 57.0.4

Linux:

Informationen zu KAISER – Patche sind Distributions und Kernel abhängig, teilweise schon verfügbar.

Weitere Informationen:

 

Update 5.1.18: Neue Vendor Informationen und Links

Weiterlesen

Docker auf Debian 9 Stretch installieren

Zum Installieren der Docker Engine auf Debian 9 – Stretch müsst ihr die folgenden Schritte befolgen:

Sicherstellen, dass ihr ein 64 bit Debian installiert habt

uname -a

Ausgabe: Linux 4.9.0-3-amd64 #1 SMP Debian 4.9.30-2+deb9u3 (2017-08-06) x86_64 GNU/Linux

hier muss ‚amd64‘ vorkommen.

Dann solltet ihr sicherstellen, dass die jeweils aktuellsten Pakete installiert sind

sudo apt-get update && sudo apt-get dist-upgrade

Nun muss der Docker PGP Schlüssel hinzugefügt werden

sudo apt-key adv --keyserver hkp://p80.pool.sks-keyservers.net:80 --recv-keys 58118E89F3A912897C070ADBF76221572C52609D

Dann werden die Installationsquellen angepasst

sudo /bin/su -c "echo '## Docker Repository' sudo >> /etc/apt/sources.list"
sudo /bin/su -c "echo 'deb https://apt.dockerproject.org/repo debian-stretch main' >> /etc/apt/sources.list"

Da die Quelle über HTTPS angesprochen wird, müssen wir sicherstellen, dass die folgenden Pakete installiert sind

sudo apt-get install apt-transport-https dirmngr

Dann noch die Quellen aktualisieren

sudo apt-get update

und Docker kann installiert werden

sudo apt-get install docker-engine

Damit wird die Docker Engine installiert, den Erfolg könnt ihr mir einen Hello World Skript wie folgt testen

sudo docker run hello-world

Alle Angaben ohne Gewähr – ihr solltet, wie immer, wissen was ihr vorhabt und tut :)

Weiterlesen

Netzwerk Konfiguration für Debian 9 Stretch auf OVH VM

Mit Debian 9 ändert sich die Nutzung von post-up und pre-down Regeln in der Netzwerk Konfiguration.

Bei OVH sah das Netzwerk Init Skript (/etc/network/interfaces)  bisher so aus:

post-up route add xxx.xxx.xxx.254 dev eth0
post-up route add default gw xxx.xxx.xxx.254
pre-down route del xxx.xxx.xxx.254 dev eth0
pre-down route del default gw xxx.xxx.xxx.254

Damit der Netzwerk Zugriff funktioniert muss bei Debian 9 der Eintrag wie folgt aussehen:

post-up ip route add xxx.xxx.xxx.254 dev eth0
post-up ip route add default via xxx.xxx.xxx.254
pre-down ip route del xxx.xxx.xxx.254 dev eth0
pre-down ip route del default via xxx.xxx.xxx.254

Bitte unbedingt darauf achten, dass dort statt ‚gw‘ jetzt ‚via‘ verwendet wird.

Weiterlesen

Xenserver 7 xensource.log und xenstored-access.log laufen voll – syslog Loglevel Anpassung

In XenServer 7 wurde das Layout der Dom0 Disk geändert, das Log Verzeichnis hat nun eine eigene 4GB Partition für /var/log.

In der Standard Einstellung von XenServer kann es passieren, dass diese Partition sehr schnell voll läuft.
Nun sollte man meinen, dass dieses keine größeren Auswirkungen hat – allerdings stimmt diese Annahme nicht.

Zum Beispiel wird das Einschalten des HA Modus für einen Pool in der Regel fehl schlagen.
Sollten ein oder mehrere Partitionen auf den Xen Hosts voll sein, dann kann es passieren, dass beim Einschalten der HA Funktionalität der Prozess hängen bleibt, zum Reboot einzelner Hosts führt und VMs nicht mehr erreichbar sind.

Wenn man einen Host mit einer vollen /var/log Partition neu startet, dann wird die Verbindung zum Pool fehl schlagen, in der xsconsole werden dann unter anderem keinerlei Netzwerk Informationen mehr angezeigt.

Kurz gesagt: sollten /var/log Partitionen auf Hosts in einem Xen Pool voll sein – dann kann es zum Ausfall des kompletten Pools führen.

Als schnell Lösung kann man, bevor man eine Aktion wie HA einschalten durchführt, die Größe der Partition prüfen und ggf. die nicht benötigten Logfiles löschen

Ich möchte hier zeigen, wie das Logging für xensource.log und xenstored-access.log geändert werden kann, denn der Parameter

xe log-set-output

wird zumindest in meinem Test nicht respektiert. Hier sollte man, in Theorie, den Loglevel einstellen können (debug, info, warn, error).
Wenn man sich das Logfile xensource.log ansieht, dann sieht man Einträge ähnlich diesem hier:

Nov 4 13:11:07 host1 xenopsd-xc: [debug|host1|3 |queue|xenops_server] Queue.push ["VM_check_state", "583a65f4-bb23-34ee-aabd-1b63bc71d250"] onto redirected 583a65f4-bb23-34ee-aabd-1b63bc71d250:[ ["VM_check_state", "583a65f4-bb23-34ee-aabd-1b63bc71d250"] ]

also ganz klar Debug Einträge.

In dem Logfile xenstored-access.log steht ‚debug‘ nicht im logging – allerdings werden teilweise read/write Befehle auf VMs geloggt bei denen es sich offensichtlich um Debug Einträge handelt. Wenn man die unten stehenden Anpassung durchführt, wird man danach sehen, dass wesentlich weniger in das Logfile geschrieben wird.

Alle hier gezeigten Anpassungen erfolgen auf eigenes Risiko – bitte nur durchführen, wenn die Auswirkungen bewusst sind – ich schließe jede Haftung aus!

Die Anpassungen für das Logging nehmen wir direkt im Syslogger der Dom0 vor, dazu loggen wir uns auf die Konsole des jeweiligen Hosts ein und führen in der Shell den folgenden Befehl aus:

nano /etc/rsyslog.d/xenserver.conf

hier finden wir dann unter anderem die folgenden Einträge:

# Xapi, xenopsd echo to syslog local5
local5.* -/var/log/xensource.log
# xenstore access to syslog local3
local3.info -/var/log/xenstored-access.log

diese ändern wir wie folgt ab:

# Xapi, xenopsd echo to syslog local5
local5.error -/var/log/xensource.log
# xenstore access to syslog local3
local3.error -/var/log/xenstored-access.log

Speichern die Änderungen und starten den Syslogger neu

service rsyslog restart

geloggt werden nun alle Ereignisse mit dem Level Error und höher.

Wenn ihr wieder auf den Standard umstellen wollte, dann einfach das error wieder durch * ersetzen!

 

Weiterlesen

XenServer 6.x: Virtuelle Maschine von ISO statt von HDD booten (Rescue Mode)

Ihr möchtet eure XenServer VM von einer ISO booten – z.B. von einer Live CD oder eine Wiederherstellungs CD?

Hier ist die Lösung:

Zunächst mountet ihr die ISO Datei – danach fahrt ihr die VM herunter.

Dann geht ihr im Menü unter VM auf Start und wählt dort Start in Recovery Mode aus.

Xen recovery

Das war schon der ganze Trick – die VM startet nun von der ISO.

Ein weiterer Neustart und ihr seid wieder auf der VM selbst.

 

Weiterlesen
Menü schließen