Kernel-Lücke Total Meltdown: Meltdown-Patch für Windows 7 verschlimmert die Lage dramatisch

Bei den Meltdown-Sicherheitspatches aus dem Januar und Februar für Windows 7 und Windows Server 2008 R2 ist gewaltig was schief gelaufen: Die Updates stoppen zwar Meltdown, reißen jedoch eine neue gefährliche und vergleichsweise einfach ausnutzbare Sicherheitslücke auf, warnt der Sicherheitsforscher Ulf Frisk in seinem Blog. Er nennt die Lücke Total Meltdown.

Davon sind ausschließlich die 64-Bit-Ausgaben der Windows-Versionen bedroht. Windows 8.1 und 10 sind davon in keiner Ausgabe betroffen. Am Patchday im März hat Microsoft die Schwachstelle geschlossen.

CPU-Sicherheitslücken Meltdown und Spectre

Die in Prozessoren entdeckten Sicherheitslücken Meltdown und Spectre treffen die Prozessorhersteller ins Mark - vor allem Intel. Aus den Lücken ergeben sich mehr als ein Dutzend Angriffsmöglichkeiten - ein Security-Supergau.

• FAQ: Was ist passiert, bin ich betroffen, wie kann ich mich schützen?
• Webinar: Meltdown & Spectre verstehen - was Unternehmen jetzt wissen müssen
• Meltdown und Spectre im Überblick: Grundlagen, Auswirkungen und Praxistipps
• Die Sicherheitshinweise und Updates von Hardware- und Software-Herstellern
• Analyse zur Prozessorlücke: Meltdown und Spectre sind ein Security-Supergau
• Berichte und Nachrichten zu Meltdown & Spectre

Kernel-Lücke

Aufgrund der Verwundbarkeit soll jeder Prozess – auch ohne Admin-Rechte – den kompletten Inhalt des Kernelspeichers mit sehr hoher Geschwindigkeit auslesen können. Es kommt aber noch schlimmer: Bei einer erfolgreichen Attacke ist sogar Schreibzugriff auf den Kernel gegeben, führt Frisk aus. So könnten Angreifer beispielsweise via Malware Informationen aus dem RAM auslesen und manipulieren und im Endeffekt das komplette System kompromittieren.

Das Ganze soll ohne viel Aufwand funktionieren. Im Endeffekt bereiten die betroffenen Windows-Versionen alles für den Speicherzugriff vor und ein Angreifer muss lediglich Lese- und Schreibbefehle ausführen.

Das liegt daran, dass die Meltdown-Patches die Erlaubnis für den Zugriff auf PML4 Page Tables für alle Nutzer und Prozesse freigegeben haben. Darauf darf eigentlich nur der Kernel selbst zugreifen. Das Update aus dem März korrigiert das, indem es ein Bit anders setzt, um den Zugriff wieder einzuschränken. Weitere technische Details führt Frisk in seinem Blog-Eintrag aus.

Bin ich verwundbar?

Wer sein Windows 7 oder Server 2008 R2 auf die Lücke testen möchte, kann dies mit einem Tool machen. Verwundbar sind ausschließlich Windows 7 und Windows Server 2008 R2 in der 64-Bit-Version mit den Meltdown-Patches aus dem Januar und Februar. Windows 8.1 und Windows 10 sind von der Lücke nicht bedroht. Wer unter Windows 7 und Windows Server 2008 R2 neben den Januar- und Februar-Patches auch die März-Sicherheitsupdates installiert hat, ist neben Meltdown auch gegen Total Meltdown abgesichert.

(des)