Meltdown und Spectre: Vermutlich Scherze mit "spekulativen Angriffen" Skyfall und Solace

Die Entdecker der Sicherheitslücken Meltdown und Spectre haben auch die Domains meltdownattack.com und spectreattack.com registriert, auf denen sie Informationen dazu bereitstellen. Am 12. Januar hat ein bisher Unbekannter die Domain-Namen skyfallattack.com und solaceattack.com registriert, die per https: mit Let's-Encrypt-Zertifikaten vom 16. Januar erreichbar sind. Die Webseiten hostet der britische Dienstleister mythic-beats.com, Domain-Registrar ist tucowsdomains.com.

CPU-Sicherheitslücken Meltdown und Spectre

Die in Prozessoren entdeckten Sicherheitslücken Meltdown und Spectre treffen die Prozessorhersteller ins Mark - vor allem Intel. Aus den Lücken ergeben sich mehr als ein Dutzend Angriffsmöglichkeiten - ein Security-Supergau.

• FAQ: Was ist passiert, bin ich betroffen, wie kann ich mich schützen?
• Webinar: Meltdown & Spectre verstehen - was Unternehmen jetzt wissen müssen
• Meltdown und Spectre im Überblick: Grundlagen, Auswirkungen und Praxistipps
• Die Sicherheitshinweise und Updates von Hardware- und Software-Herstellern
• Analyse zur Prozessorlücke: Meltdown und Spectre sind ein Security-Supergau
• Berichte und Nachrichten zu Meltdown & Spectre

skyfallattack.com und solaceattack.com kündigen die "spekulativen Angriffe" (speculative Attacks) Skyfall und Solace an, die angeblich auf Erkenntnissen zu Meltdown und Spectre aufbauen. Die Details zu Skyfall und Solace unterliegen demnach einer Geheimhaltungsvereinbarung (NDA), wie sie auch für Meltdown und Spectre vom 1. Juni 2017 bis (eigentlich) zum 9. Januar 2018 vereinbart war.

Die Namen Skyfall und Solace erinnern wie "Spectre" an Titel von James-Bond-Filmen. Auf den Webseiten liegen aber auch Bilddateien, die visuelle Bezüge zu Intel (Skylake) und Oracle Solaris herstellen.

Witz, Kursmanipulation oder Malware-Schleuder?

meltdownattack.com und spectreattack.com wurden Ende Dezember über die österreichische Ledl.net registriert und sind auch dort gehostet; die Meltdown-Entdecker arbeiten an der TU Graz. Das deutet darauf hin, dass skyfallattack.com und solaceattack.com einer anderen Person oder Firma gehören als meltdownattack.com und spectreattack.com. Letztere waren auch wohl nicht bereits vor der Veröffentlichung der Lücken aktiv; ihre Let's-Encrypt-Zertifikate datieren vom 2. Januar 2018.

Die Bezeichnungen und Logos von Meltdown und Spectre vermeiden Bezüge zu betroffenen Firmen und Produkten, anders als bei Skyfall und Solace.

Die zahlreichen Unterschiede sowie die Zeitpunkte der Registrierungen und Veröffentlichungen deuten darauf hin, dass an Skyfall und Solace nichts dran ist – wenn auch die Sicherheitsforscher der TU Graz mehrfach angedeutet haben, dass weitere Sicherheitslücken mit ähnlichen Ursachen wie Meltdown und Spectre denkbar sind. Auch die Veröffentlichung zu "Speculose" von Forschern der Uni Saarland deuten darauf hin.

Auf Anfrage von heise online antwortete Daniel Gruss von der TU Graz, dass er von einem Scherz ausgeht. Die Bezüge zu Intel und Oracle könnten aber auch Versuche sein, die jeweiligen Aktienkurse zu beeinflussen. Denkbar ist jedoch auch, dass die bislang wohl harmlosen Webseiten Traffic anziehen sollen und später Malware verteilen. Deshalb haben wir sie nicht verlinkt.

Trittbrettfahrer

Leider gibt es häufig Versuche, das Interesse an Sicherheitslücken für eigene Zwecke zu missbrauchen. So kursierten in der vergangenen Woche Phishing-Mails mit einer angeblichen Warnung des BSI vor Meltdown und Spectre, die jedoch zu einem Trojaner führen.

Inhalt von skyfallattack.com:

<html>
  <head>
    <meta name="keywords" content="meltdown,spectre,skyfall,solace,attack,meltdownattack,spectreattack,solaceattack,skyfallattack,cve-2017-5715,cve-2017-5753,cve-2017-5754">
    <title>Skyfall and Solace</title>
    <link href="https://fonts.googleapis.com/css?family=Montserrat:300,400" rel="stylesheet">
    <link rel="stylesheet" href="styles.css" type='text/css'>
    <link rel="apple-touch-icon" sizes="180x180" href="/apple-touch-icon.png">
    <link rel="icon" type="image/png" sizes="32x32" href="/favicon-32x32.png">
    <link rel="icon" type="image/png" sizes="16x16" href="/favicon-16x16.png">
    <link rel="manifest" href="/manifest.json">
    <link rel="mask-icon" href="/safari-pinned-tab.svg" color="#5bbad5">
    <meta name="theme-color" content="#ffffff">
  </head>
  <body>
    <h1>Skyfall and Solace</h1>
    <h2>More vulnerabilities in modern computers.</h2>
    <p>Following the recent release of the Meltdown and Spectre vulnerabilities,
    CVE-2017-5175, CVE-2017-5753 and CVE-2017-5754, there has been considerable
    speculation as to whether all the issues described can be fully mitigated.
    <br />
    <p>Skyfall and Solace are two speculative attacks based on the work
    highlighted by Meltdown and Spectre.
    <p>Full details are still under embargo
    and will be published soon when chip manufacturers and Operating System 
    vendors have prepared patches.
    <h2>Watch this space...</h2>
  </body>
</html>

(ciw)