News Sicherheitslücke Spectre: BIOS-Updates von ASRock, Asus, MSI, Gigabyte & EVGA

Ich kann nur lesen. Das reicht schon.


Du scannst natürlich alles hundertprozentig, was über Browser oder sonst auf deinen PC gelangt. Das ist auch ne coole Story.

Aber dein Bro bin ich trotzdem nicht.




Dann wünsche ich dir viel Spaß dabei, die nächsten Jahre jedes Windows-Update genau unter die Lupe zu nehmen, damit dir bloß nicht irgendwie der böse Patch untergejubelt wird.


Dass du dich als IT Professional bezeichnest, oder was auch immer du damit sagen willst, und dich nicht für die Sicherheit des Systems im Hinblick auf Meltdown und Spectre interessierst, ist schon bedenklich.
 
Zuletzt bearbeitet:
@Stunrise du hast keine Ahnung wovon du sprichst oder? Noch mal zum mit denken Meltdown und Spectre Lücken entstehen durch ganz normale Cpu Operationen also wie zum Teufel soll zum Beispiel ein Virenscanner unterscheiden ob der Code den er vor sich hat schadhaft ist oder nicht? Weil das sind normale Vorgänge die fast jedes Programm mal macht Auf deutsch jedes Programm kann den kompletten Speicher auslesen selbst wenn es nicht als schadhaft klassifizierten Code enthält. Wenn du wirklich in der IT Branche arbeitest bist du da eindeutig fehl am Platz bei deinen Aussagen.
 
Momentan sind die Microcodes von den CPUID 806 & 906 in 2018 aktualisiert. Die CPUID 306, 406, 506, 706 im November / Dezember 2017, diese Microcodes schützen bei Spectre V2. Für CPUID 206 welche auch Sandy Bridge enthällt, gibt es von Intel noch kein Microcode Update. Aber ich hoffe es kommt dafür noch ein Microcode Update, dann aktualisiere ich selbst mein Bios mit dem neue Microcode :) .

Hier gibt es ein Programm um auf Spectre und Meltdown auf einfache Weise zu testen, sicherer ist aber die Powershell Variante zum testen. https://www.grc.com/inspectre.htm
 
Stunrise schrieb:
Über welchen anderen Weg kann denn zusätzlich zu JavaScript@Browser potentieller Meltdown oder Spectre Schadcode auf einem Gaming-PC ausgeführt werden?

Über so ziemlich jedes Programm, was einen Autoupdater besitzt und die Server von gekapert wurden. Du willst mir jetzt mit Sicherheit mitteilen, dass du alle Programme manuell updatest und die Checksummen prüfst. Auf einem Gaming-PC z.B. könnte es Spiel XY über Steam sein. Falls du nun z.B. in einer Veracrypt liegende .txt Dateien hast, die deine Einlogdaten für Seiten enthalten und du das Passwort einfach rauskopierst, steht dies unverschlüsselt im Ram drin und ist damit auslesbar.

Wir die Vorgänger schon sagten, eine Lücke wird gefährlich, sobald sie öffentlich bekannt wird. In ein paar Monaten werden Schädlinge wahrscheinlich standardmäßig mitprüfen, ob man Meltdown/Spectre ausnutzen kann. I.d.R. Sicherheit >>>>>>>> Performance.
 
xxxx schrieb:
Auf deutsch jedes Programm kann den kompletten Speicher auslesen selbst wenn es nicht als schadhaft klassifizierten Code enthält. Wenn du wirklich in der IT Branche arbeitest bist du da eindeutig fehl am Platz bei deinen Aussagen.

Xmechanisator schrieb:
Über so ziemlich jedes Programm, was einen Autoupdater besitzt und die Server von gekapert wurden. .

Jedes lokal ausgeführte Programm, kann problemlos den gesamten Speicher deines PCs auslesen, OHNE das es dafür Spectre oder Meltdown braucht! Selbst Programme die "nur" mit Benutzerrechten ausgeführt werden, können den gesamten Userspace auslesen und somit alles was du in der Sitzung gestartet hast.

Die neue Lücke ermöglicht es Scripten aus einer Sandbox heraus auf den Speicher zuzugreifen und macht eben "Angriffe" über Browser möglich.

Trotzdem bleiben die Angriffsmöglichkeiten lächerlich klein, damit es sich lohnt damit Hänschen Klein anzugreifen. Ich kann nur lesen, die meisten Daten sind Datenmüll, der Aufwand ist schlichtweg sehr groß.

xxxx schrieb:
Noch mal zum mit denken Meltdown und Spectre Lücken entstehen durch ganz normale Cpu Operationen.

Die CPU Operationen sind alles anderes als normal. Allerdings überwachen Virenscanner (derzeit) keine CPU Operationen sondern Systemzugriffe.

Der Ansatz von Trendmicro wird sein, in der Zukunft Leistungsindikatoren der CPU zu überwachen und bei entsprechenden Anzeichen Alarm zu schlagen. Derzeit beschränkt man sich darauf die diversen POCs zu erkennen und zu blocken.

Trend Micro Solutions
Trend Micro detects the proof-of-concept exploits targeting Spectre (CVE-2017-5753) as TROJ64_CVE20175753.POC. Trend Micro™ TippingPoint™ customers are protected from threats that may exploit the vulnerabilities via these MainlineDV filters: •30191: HTTP: Javascript JIT Information Disclosure Vulnerability (Spectre)

How to detect if your system is under attack

Each modern CPU supports the collection of many different performance counters of microarchitectural state changes. Observing these statistics can reveal Meldown and Spectre attacks. The theory for Intel platform using Processor Counter Monitor is described here. For example, deviations in cache miss, instruction retirement aborts or branch mispredictions can be detected during an attack. This is currently the most promising way to detect and abort attack code
https://blog.trendmicro.com/trendla...ulation-risky-understanding-meltdown-spectre/
 
Zuletzt bearbeitet:
Soderle, mal das MSI Z370 Gaming Pro Carbon mitm 8700k auf die aktuelle Version gehievt. Einzig nervig war es, dass die OC Einstellungen allesamt wieder eingegeben werden mussten...

Rein aus Interesse mal nen (kostenfreien) Firestrike vor und nach dem Update durchgejagt. CPU Score ging wenige Punkte sogar nach oben (8.676 zu 8.704), dafür GPU minimalst nach unten (10.075 zu 10.049).

Windows 10, 64bit inkl. Patch
16GB Ram
MSI GTX 1080Ti Gaming X
8700k @4,8Ghz allcore
 

Anhänge

  • Firestrike_AFTER.PNG
    Firestrike_AFTER.PNG
    1,2 MB · Aufrufe: 559
  • Firestrike_PRE.PNG
    Firestrike_PRE.PNG
    1,2 MB · Aufrufe: 537
Kann man in etwa so unterscheiden: Spectre kommt an User-, Meltdown an Kernel-Speicher. Mit Meltdown kann man bspw. auch aus einer VM ausbrechen.
 
xexex schrieb:
Jedes lokal ausgeführte Programm, kann problemlos den gesamten Speicher deines PCs auslesen, OHNE das es dafür Spectre oder Meltdown braucht! Selbst Programme die "nur" mit Benutzerrechten ausgeführt werden, können den gesamten Userspace auslesen und somit alles was du in der Sitzung gestartet hast.

Echt? Quelle?
Ich dachte immer der Kernel weißt jedem Prozess einen eigenen virtuellen Adressraum zu, der unter Verwendung von ASLR sogar noch verwürfelt wird.

Unter Linux benötige ich zum Zugriff auf /dev/mem/ jedenfalls immer mindestens Root-Rechte.

Für eine Erklärung wie das anders geht, wäre ich dankbar.



Die neue Lücke ermöglicht es Scripten aus einer Sandbox heraus auf den Speicher zuzugreifen und macht eben "Angriffe" über Browser möglich.

Macht unter anderem Zugriffe aus dem Browser möglich. JDownloader oder jedes andere Java-Applet kann selbstverständlich weiter missbraucht werden. Ebenso könnten zum Beispiel auch versteckte Makros oder ähnliches benutzt werden. Von Access-Dateien mal ganz zu schweigen.



Trotzdem bleiben die Angriffsmöglichkeiten lächerlich klein, damit es sich lohnt damit Hänschen Klein anzugreifen. Ich kann nur lesen, die meisten Daten sind Datenmüll, der Aufwand ist schlichtweg sehr groß.

Auch wenn Du es immer wiederholst, die 500 kb/s sind nicht mehr aktuell. Herr Gruss sagte klipp und klar, 8GB in 2 Stunden Mit einem Kern wohlgemerkt. Macht 1,13 MB/Stunde.
Und die PoC sind nicht mal optimiert.

Der Aufwand spezielle Programme auszulesen ist ebenfalls eher sehr gering, wenn die Toolboxen installiert werden.
Schau Dir doch mal die Toolboxen unter Kali Linux und Konsorten an.

Da ziehst Du Ziel-Programme per Drag&Drop in dein Fenster, für den Virus den Du erstellen willst. Und das ist was die Vorredner sagten. In Zukunft ziehst Du dann Mozilla oder JDownloader oder Access Build <2018 in den Hauptfenster-Bereich und direkt ist eine Meltdown (und/oder Spectre-) Variante als mögliche Abprüfung mit enthalten. Inklusive den gängigen Wegen wie man die im memory identifiziert. Das wars.
Da brauchst Du kein aufwendiges Pointing oder sonstwas mehr in den Memory-Bereich selber coden. Reinziehen. Fertig.




Die CPU Operationen sind alles anderes als normal. Allerdings überwachen Virenscanner (derzeit) keine CPU Operationen sondern Systemzugriffe.

Sind wir jetzt nicht bei Spectre? Der Meltdown-Grundcode zu dem eventuell noch eine Schleife muss ist mit:
Code:
; rcx = kernel address
; rbx = probe array
retry:
movzx rax, byte [rcx]        ; Lädt den Inhalt der auszulesenden Speicherstelle in Registers rax.
                             ; Das führt zu einer Ausnahmebehandlung.
                        ; Der folgende Code wird nur prozessorintern im Voraus ausgeführt.
shl rax, 12                  ; Multipliziert den Inhalt des 64-bit Registers rax mit 4096,
                              ; so dass es nun eine Seitenadresse enthält, die vom Inhalt der
                             ; auszulesenden Speicherstelle abhängt.
 jz retry                     ; Beginnt von vorn, wenn das Zero-Flag (und damit hier auch rax)
                            ; gleich 0 ist (Auch bei [rcx]=0 keine Endlosschleife, da aufgrund
                             ; der Ausnahmebehandlung die out-of-order Ausführung schließlich
                             ; abgebrochen wird).
mov rbx, qword [rbx + rax]   ; Greift auf eine Speicherstelle auf der Seite zu, deren Adresse in
                             ; rax steht. Dies lädt eine Seite in den Cache, deren Adresse vom
                            ; Inhalt der auszulesenden Speicherstelle abhängt.

in meinen Augen lächerlich unkompliziert und klein.

Der Ansatz von Trendmicro wird sein, in der Zukunft Leistungsindikatoren der CPU zu überwachen und bei entsprechenden Anzeichen Alarm zu schlagen. Derzeit beschränkt man sich darauf die diversen POCs zu erkennen und zu blocken.

Klar, Heuristiken waren ja schließlich in den letzten dreißig Jahren das absolute Sicherheitsfeature und total schwer mit Verzweigungen im Code zu täuschen!
 
Zuletzt bearbeitet:
Sun_set_1 schrieb:
Ich dachte immer der Kernel weißt jedem Prozess einen eigenen virtuellen Adressraum zu, der unter Verwendung von ASLR sogar noch verwürfelt wird.

Hast recht. Mit Benutzerrechten sollte ein Programm nicht auf Speicherbereiche von anderen Programmen zugreifen können. Auf der anderen Seite hat es aber Zugriff auf alle Dateien und Registrierungschlüssel, auf die ein Benutzer zugreifen kann.

Sun_set_1 schrieb:
Auch wenn Du es immer wiederholst, die 500 kb/s sind nicht mehr aktuell. Herr Gruss sagte klipp und klar, 8GB in 2 Stunden Mit einem Kern wohlgemerkt. Macht 1,13 MB/Stunde..

Selbst wenn wir von diesen Werten ausgehen sind zwei Stunden noch immer viel und dann hast du 8GB Datenmüll, was du erst nach verwertbarem durchsuchen muss. Hast du deinen Browser auf irgendeiner dubiosen Seite zwei Stunden offen und machst währenddessen deine Bankgeschäfte?
 
Zuletzt bearbeitet:
Ich mach das nicht und Du machst das auch nicht.

Es gibt aber leider Leute, die grob gesagt ihren Kontostand prüfen während sie an sich selbst herumspielen... :)

Aber wie schon im anderen Thread gesagt, mache ich mir eher um betriebliche Clients Gedanken.
Access, Excel etc sind bei den meisten leider wirklich den ganzen Tag geöffnet. Wäre ich ein böser Angreifer, wäre dies auch meine Zielgruppe.
 
xexex schrieb:
Jedes lokal ausgeführte Programm, kann problemlos den gesamten Speicher deines PCs auslesen, OHNE das es dafür Spectre oder Meltdown braucht! Selbst Programme die "nur" mit Benutzerrechten ausgeführt werden, können den gesamten Userspace auslesen und somit alles was du in der Sitzung gestartet hast.
Was denn nun, den gesamten Speicher oder den gesamten Userspace?

Um die Lücken produktiv ausnutzen zu können, reicht es ja auch nicht, den kompletten Speicher auslesen zu können, man muß die Daten abziehen oder lokal durchsuchen und dann wichtige/relevante Informationen finden, das dürfte nicht so leicht sein.
In der Firma sehe ich da z.B. bei uns ein hohes Risiko, weil zig virtuelle Maschinen auf einem Host laufen. Wenn da eine Maschine kompromittiert wäre, könnte man ggf. auf andere Maschinen oder gar den Host zugreifen.
Bei Privatanwendern mit einem PC sehe ich da kein extremes Risiko, da muß man mit seiner Malware nicht Meltdown/Spectre nutzen, das wäre viel zu aufwändig. Wobei wenn da Schadcode entwickelt wird, unterscheidet der ja nicht zwischen privat und professionell, gefährdet ist man also ohne Patch immer (das Risiko muß halt jeder für sich bewerten).
Ich habe daheim auch noch einen i52500k (Z68-Board von ASRock), glaube kaum, daß da noch aktualisiert wird. In Rente schicken werde ich meine Kiste deshalb aber nicht, dazu läuft sie einfach (noch) zu gut. Zeigt aber auch, daß sich bei den CPSs nun nicht so furchtbar viel getan hat in den letzten Jahren, wenn 7 Jahre alte CPUs immer noch (relativ) locker für die meisten Anwendungen ausreichen (das war früher anders). Wird also mal Zeit für neue CPU-Designs, die dann für Meltdown/Spectre nicht mehr anfällig sind.
 
Ich bekomme beim Versuch
Code:
Install-Module SpeculationControl
in PowerShell den Windows-Dialog "Wie soll diese Datei geöffnet werden?" angezeigt. Womit soll ich besagte "Datei" öffnen? PowerShell Version ist 5.1.
 
Hmmm, also ich verliere den Überblick.
Ich habe das Asus Rampage 2 Extreme mit einem i7 920.

Bei Asus finde ich kein Update. (Auf der Support Seite von dem MB)

Gibt es für mein Board schon ein Update, bzw wird da überhaupt eins kommen?
Ist meines Wissens der X58 Chipsatz. Vielleicht ist einer von Euch schlauer als ich. :D
 
So hab auch mal meinem Asus Maximus VIII Hero das neue Bios verpasst.
Cinebench nichts besonderes, hab vorher und nachher getestet. CPU von 994 > 990 und CPU (Singel Core) von 194 > 196.

Rest noch nicht getestet, OC usw. neu eingestellt wie vorher und läuft bisher normal.
 
xxxx schrieb:
@Der Willy das funktioniert aber nur mit Ami Biosen das solltest du noch erwähnen ich könnte selbst schon 3 getestet mit dem aktuellen Microcode modifizierte Biose zur Verfügung stellen aber mit Ubu ist das modifizieren selber recht ungefährlich weil das Tool nachher die Integrität prüft.
Sorry, das hatte ich schon editiert aber leider nicht abgeschickt^^
 
finde es sehr schade das Gigabyte für den H97/Z97 Chipsatz keine Updates mehr bringt. Oder hat ihr jemand andere Infos? Auf der Homepage von denen finde ich nichts dazu
 
Agratos schrieb:
Ich bekomme beim Versuch
Code:
Install-Module SpeculationControl
in PowerShell den Windows-Dialog "Wie soll diese Datei geöffnet werden?" angezeigt.

Dann machst du sicher etwas falsch.

1. Powershell mit Administratorrechten starten.
2. Set-ExecutionPolicy RemoteSigned
3. Install-Module SpeculationControl
 
Habe heute mein Asus TUF X299 Mark 2 aktualisiert nachdem ich bemerkt hatte, dass das Bios nur über die Englische Seite zu finden ist und nicht über die Onlineaktualisierung/deutsche Webseite.
Als Erstellungsdatum ist der 29.12.2017 eingetragen.
Bisher keine negativen Effekte beim Arbeiten bemerkbar.

Sogar mein Dell E7440 hat ein Biosupdate online gefunden, auch hier keine negativen Effekte. :)
 
Zuletzt bearbeitet:
Zurück
Oben