Das sind die Folgen von Meltdown und Spectre

Was Provider tun sollten

von - 23.04.2018
Gartner-Research-Director Priestley rät, zumindest die am höchsten gefährdeten Server zu aktualisieren: „Für die meisten Rechenzen­trumsbetreiber empfiehlt sich ein sorgfältig geplanter Roll-out der Patches, wobei Risiko und potenzielle Leistungseinbußen für jeden Work­load einzeln betrachtet werden sollten.“ Eine wirkliche Alternative zum Patchen sieht Priestley nicht: „Die Mikroprozessor-Hersteller werden voraussichtlich nicht vor Ende dieses Jahres redesignte CPUs herausbringen, die nicht anfällig für die Exploits sind.“

Die Aktualisierung muss auf folgenden Ebenen erfolgen:

Hardware: AMD, Intel, IBM und weitere Hersteller haben Microcode- beziehungsweise Firmware-Aktualisierungen veröffentlicht, für einige Mainboard-Systeme stehen zudem BIOS-Updates zur Verfügung.
Die ersten Patch-Versionen waren häufig Schnellschüsse, die erhebliche Probleme mit sich brachten und wieder zurückgezogen wurden. Aktuelle Versionen sollten nur noch geringe Auswirkungen auf die Performance der Systeme haben. Noch liegen aber nicht für alle betroffenen Systeme und Versionen funktionsfähige Patches vor, gerade im BIOS-Bereich ist die Situation unübersichtlich. Anders als bei den Betriebssystemen werden BIOS-Updates nicht automatisch eingespielt, sondern müssen aktiv gesucht und geladen werden.
Thilo Langenhorst
Thilo Langenhorst
Teamleiter für Service & Management bei Axians IT Solutions
Foto: Axians
„Die Reaktion und das Testing der Hersteller waren nicht optimal.“
Axians-Experte Langenhorst sieht die Anbieter in der Pflicht: „Alle Hersteller müssen Supportanfragen bezüglich Verfügbarkeit beantworten.“
Betriebssystem: Für Windows 7, 8.1 und 10 liegen Updates vor, ebenso für Windows Server 2008 R2 und 2012 R2. Apple hat entsprechende Patches in Mac OS X 10.13.2 und iOS 11.2.2 integriert. Für die Linux-Kernel-Versionen 4.14 und 4.15 sowie für die Distributionen Debian GNU, Red Hat Enterprise Linux (RHEL), Suse und Ubuntu sind ebenfalls Updates vorhanden. Für Android wurden die Patches mit dem Security Patch Level (SPL) 2018-01-05 ausgeliefert, das Google bereits im Dezember 2017 an die Partner verteilt hatte.
Axians-Mitarbeiter Langenhorst rät, auch an Hyperconverged- und Storage-Lösungen von Cisco, IBM, EMC und anderen zu denken: „Alles, was auf x64-, x86- und ARM-Systemen läuft, ist betroffen.“ Auf Windows-Systemen kann allerdings Antiviren-Software Probleme bereiten, die unter Umständen eine Aktivierung der Patches verhindert. Antiviren-Programme sollten daher vor dem Betriebssystem-Update auf den neuesten Stand gebracht werden. Mit dem PowerShell-Skript Speculation Control Validation lässt sich überprüfen, ob der Schutz erfolgreich aktiviert werden konnte.
Hypervisor: Für VMware ESXi, Xen, und XenServer liegen Patches vor oder sind zumindest in Vorbereitung. Hyper-V wurde mit den Windows-Server-Versionen gepatcht.
Applikationen: Die wichtigsten Browser sind mittlerweile gepatcht. Mozilla Firefox ab Version 57.0.4, Google Chrome 64 und Apple Safari ab 11.0.2 enthalten entsprechende Sicherheits-Updates, Microsoft hat die Programme Edge und Internet Explorer 11 aktualisiert und für Opera 50 liegt ebenfalls ein Patch vor.
Linux-Entwickler sollten außerdem ihre Programme mit einem aktuellen Compiler neu kompilieren, der die von Google entwickelte Technik Retpoline (Return Trampoline) unterstützt. Sie soll vor Spectre-2-Angriffen schützen, ohne die Performance nennenswert zu beeinträchtigen.
Thilo Langenhorst von Axians empfiehlt darüber hinaus, den Perimeter-Schutz durch Firewalls, privilegierte Administrationssysteme und Berechtigungen zu auditieren, um Zugriffe von außen so schwierig wie möglich zu machen. „Da­rüber hinaus ist ein Penetrationstest nie verkehrt“, so der Teamleiter. Mitarbeiter sollten zudem für die Gefahren sensibilisiert werden, die von E-Mail-Anhängen und Social Engineering ausgehen.
Verwandte Themen