Ein fundamentaler jahrzehntealter Designfehler in den Prozessoren von Intel und teilweise auch anderer Hersteller wie AMD und ARM ermöglicht eine Sicherheitslücke. Prozessoren wurden seit Jahrzehnten darauf getrimmt, immer schneller zu werden. Eine der Ideen dabei war, möglicherweise später benötigte Daten schon vorher abzurufen, damit es nachher keine Verzögerungen gibt. Man nennt dies auch «Speculativ Execution». Genau hier kann angegriffen werden.
Seit wann ist die Lücke bekannt?
Entdeckt wurde die Sicherheitslücke offenbar im Juni 2017, wobei sie erst jetzt an die Öffentlichkeit gekommen ist. Positiv ist, dass die Hersteller bereits Zeit hatten zu reagieren und dass es sehr aufwendig ist die Schwachstelle auszunutzen.
Wie kann man sich schützen?
Die Sicherheitslücke kann nur mit einem Patch im Kernel der Betriebssysteme gefixt werden oder mit neuen Prozessoren.
Für die wichtigsten Betriebssysteme wie Windows, Linux und MacOS sowie die wichtigsten Hypervisor wie HyperV und ESX sind bereits Patches vorhanden. Die grossen Cloudprovider wie Azure sind schon seit einigen Wochen daran «Security Updates» zu fahren.
ACHTUNG: Die Performance eines gepatchten Systems kann 2%-30% einbrechen (Zahlen aus der Presse), je nach Alter der CPU. Genau Zahlen sind noch nicht bekannt und es wird in der Presse gestritten/spekuliert.
Update 10.01.2018: ein neuer Eintrag von Microsoft liefert etwas differenziertere Angaben betreffend Performance.
Update 15.01.2018: Wir haben erste Messungen von Intel betreffend Clients. Es zeigt sich dass der Impact bei Windows 10 und Windows 7 bei allen gängigen CPUs noch im einstelligen Prozentbereich ist.
Zusammenfassend kann man sagen dass Prozessoren ab 2016 mit Windows 10 nur einen kleinen Impact im unteren einstelligen Prozentbereich einstelligen Prozentbereich haben. Prozessoren vor 2015 oder Windows 7 und Windows 8 haben einen nur leicht grösseren Impact. Bei Windows Server kommt es stark auf die Applikation an. IO-intensive Applikationen leiden am meisten wobei auch hier die neueren Prozessoren besser abschneiden.
Unsere Empfehlung
Wir empfehlen zeitnah zu reagieren indem zuerst «baremetal» Server und die Hypervisor gepatched werden. Aktuell gehen wir davon aus dass VMs auf einem gepatchten Hypervisor sicher sind. Die VMs können dann im normalen Patchzyklus nachgezogen werden. Die Clients sollten im Januar im normalen Zyklus gepatched werden. Wir empfehlen dabei den normalen Prozess mit Testing, Pilot, Prod durchzuführen.
Update 23.01.2018: Im Moment halten wir uns an das Motto «nur keine Hektik». Wichtig ist, dass die Server/Clients das aktuelle Januar Update von Microsoft erhalten. Alles was Firmware bei den Server/Clients betrifft, warten wir ab. Grund: Intel und die Hersteller von Clients/Server haben die Firmware wieder zurückgezogen, da es zu viele Probleme gab. Bei Apple und Android empfehlen wir die Installation der aktuellsten Updates.
Update 04.02.2018: Diverse Hersteller haben bereits Lösungen welche die Angriffsvektoren verhindern oder stark erschweren. Wir empfehlen solche Lösungen im Gesamtkontext von Security einzusetzen. Dies kann z.B. via Malware Software, sichere DNS via Cisco Umbrella oder NG Firewalls, (Cisco, Meraki, Fortigate) geschehen.
Windows Client/Server:
Detailinformationen Windows Client
Detailinformationen Windwos Server
Der Patch ist integriert und Bestandteil des 2018-01 Kumulativ Update, welcher diesen Monat am 3.1.18 eine Woche früher rausgekommen ist als normal. Im Client-Artikel findet sich auch ein Script zur Prüfung des aktuellen Client-Betriebsystems.
Wenn der Update aus Angst eines Performance Impact nicht installiert wird, dann werden die anderen Patches ebenfalls nicht installiert («alles oder nichts») und zukünftige kumulative Updates können auch nicht installiert werden.
Um vollständig sicher zu sein wird zusätzlich empfohlen das neuste BIOS und die neuste relevante Firmware zu installieren.
Bei privaten Windows Geräten wurde das kumulative Update mit dem integrierten Patch seit dem 03.01.18 direkt gepushed. Microsoft prüft jedoch die Kompatibilität der Antivirus Software und eine manuelle Intervention kann nötig sein. Wir verweisen auf den Microsoft Artikel betreffend Antivirus weiter unten.
Bei Firmen mit einem Patch Management Prozess (z.B. SCCM, WSUS) wurde das kumulative Update wahrscheinlich (Prozessabhängig) noch nicht freigegeben, da der offizielle Patch Tuesday am 9.1.18 ist. Falls der Update früher verteilt werden soll, braucht es manuelle Interaktion.
Wir machen darauf aufmerksam dass auch hier der Antivirus kompatibel sein muss. Wir beobachten dass auch andere Applikationen das betroffene Feature nutzen und Probleme machen können.
Azure: Wurde bereits laufend gepatched und dies wird nun beschleunigt. Ein grosses Maintenance Windows wurde für den 10.1. angekündigt. Es ist unklar wie viel von Azure bereits gepatched wurde.
Antivirus: Windows Defender/SCEP von Microsoft ist mit dem Security Update kompatibel. Trend Micro ist mit dem Security Update ebenfalls kompatibel mit folgender Anpassung. Bei allen anderen Antivirus Lösungen verweisen wir auf diesen Microsoft Artikel. Statement von Microsoft betreffend Problemen mit Antivirus nach dem Security Patch Microsoft arbeitet mit allen Herstellern zusammen um die Kompatibilität wieder automatisch herzustellen. Ausserdem haben wir in der Community ein sehr gute Zusammenstellung aller AV Hersteller gefunden.
Weitere Informationen von andere Hersteller aus unserem Angebot:
CISCO
Citrix
Fortinet
HPE
Microsoft
Trendmicro
VMware
FAQ:
Q: Welche Vorsichtsmassnahmen sind neben dem Patchen empfohlen?
A: Wir empfehlen das BitHawk Sicherheitsmodel einzusetzen und daraus Massnahmen abzuleiten wie z.B. Antimalware, sicherer DNS, NG Firewalls etc.
Q: Sind neben Intel andere CPUs betroffen?
A: Ja, es sind auch Prozessoren von AMD und ARM betroffen.
Q: Wie gross ist der Leistungseinbruch mit dem Patch?
A: Wir haben noch keine definitiven Zahlen. Wir gehen aber davon aus dass es weniger schlimm ist als angenommen und <15% ist.
Q: Muss man Hypervisor patchen?
A: Ja, auf jeden Fall. Aktuell gehen wir davon aus dass VMs auf einem gepatchten Hypervisor sicher sind. Das gilt für alle Hypervisor. Azure patched aktuell auch nur die Hypervisor.
Q: Hat Microsoft für AMD und Intel verschiedene Patches?
A: Nein, es ist der Gleiche.
Q: Müssen Linux und Linux Appliances auch gepachted werden?
A: Ja. Wenn es sich um eine Appliance Lösung handelt, muss der Hersteller der Appliance den Patch integrieren und bereitstellen.
Q: Gibt es Patches von End Of Support Software/Hardware?
A: Nein, ist uns nicht bekannt. Dies wäre reiner Goodwill der Hersteller.
Q: Was ist die BitHawk Empfehlung?
A: Wir empfehlen Hypervisor, baremetal Server und Clients zeitnah zu patchen. Die VMs können in diesem Fall im normalen Zyklus nachgezogen werden.
Q: Müssen BIOS und Firmware upgedated werden?
A: Ja, um 100% Schutz zu bekommen ist dies teilweise notwendig.
Eine gute technische Zusammenfassung über alle Hersteller findet man hier.
Eine gute (nicht technische) Zusammenfassung aus der Presse findet man hier.
Weitere Themen die Sie interessieren könnten:
