News Windows-Patch & Microcode: AMD und Microsoft liefern Schutz gegen Spectre V2 aus

[MK one]

man muss natürlich auch eins sehen , ziel von Hackerangriffen die Spectre oder Meltdown Lücken ausnutzen wird kaum der Privat PC sein , zumindest nicht von Otto Normalo ... - da gibt es nicht genug zu holen . Ziel werden Firmen bzw deren Server sein und halt Cloud Anbieter und deren Hardware stammt nicht aus 2011 .

 

[Tanzmusikus]

@emeraldmine
Welcher Patch - Spectre2? Wieso?
Wenn, dann bahnen sich eher weitere Sicherheitslücken in Intel-Prozessoren an.
Das wird aber noch (Monate) dauern bis da was kommt.

Das Upgrade 1803 ging bei mir super durch. Hab O&O ShutUp aber vorher zurückgesetzt.
Und ja, es soll ein paar Probleme mit dem Store geben. Das benutze ich zum Glück nicht.

@MK one
Das sehe ich auch so ... bis auf das Jahr 2011.
Wenn man nicht die aktuelle Win10 1803 benutzt, dann hat man auch mit einem aktueller Hardware z.Z. keinen Spectre2-Schutz.

 

[emeraldmine]

Also hier ist noch nichmal Spectre 1 Schutz aktiv. Ein Skandal nach ca. 5 Monaten immer noch nix.

 

[MK one]

@emeraldmine
Welcher Patch - Spectre2? Wieso?

@MK one
Das sehe ich auch so ... bis auf das Jahr 2011.
Wenn man nicht die aktuelle Win10 1803 benutzt, dann hat man auch mit einem aktueller Hardware z.Z. keinen Spectre2-Schutz.

Linux hat auch nen Spectre Schutz
ausserdem hat AMD und Microsoft https://support.microsoft.com/de-de/help/4073757/protect-your-windows-devices-against-spectre-meltdown
für ältere Windows Versionen mit den Mai Updates diese sicherer gemacht , die 1607 ist schon recht alt
Aktivieren der Verwendung von Indirect Branch Prediction Barrier (IBPB) für Spectre Variante 2 für AMD-Prozessoren (CPUs)
Gilt für: Windows 10, Version 1607, Windows Server 2016, Windows Server 2016 (Server Core-Installation) und Windows Server, Version 1709 (Server Core-Installation)

 

[Tanzmusikus]

Wie emeraldmine schon schrieb, ist mir noch nichts über Sprectre v1 Schutz bekannt geworden.
Und dass für Win7 SP1 kein Spectre v2 Schutz kommt, ist schon gemein. Immerhin sollte es noch Sicherheitsupdates ein paar Monate geben.
So sieht die "Wahrheit" bei M$ aus.

 

[MK one]

Das ist so nicht richtig , bei Spctre v1 erfolgt der Schutz über das Betriebssystem , kam relativ früh und hat bei AMD bei älteren CPU s zu Problemen geführt
https://blog.barkly.com/meltdown-spectre-patches-list-windows-update-help#windows-updates
What the Windows updates address:

• Spectre variant 1, bounds check bypass (CVE-2017-5753)
• Meltdown, rogue data cache load (CVE-2017-5754)

gibt es wohl auch für
Windows 7 and Windows Server 2008

• Windows 7 SP1 and Server 2008 R2 SP1 — KB4056897 (Security only, issued 1/3/18)
• Windows 7 SP1 and Server 2008 R2 SP1 — KB4056894 (Monthly rollup, issued 1/4/18)
• Update that disables Intel's Spectre variant 2 mitigation (which has caused issues) — KB4078130 (issued 1/27/18)

ich hab kein win 7 mehr ... , kann s daher nicht gegentesten , steht auch nicht bei ob für AMD oder Intel , jedoch gehe ich davon aus das es für beide gilt .

Ergänzung (16. Mai 2018)

ups , jetzt erst gesehen , Microsoft hat im April einen Patch rausgebracht , der gegen Total Meltdown ist
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-1038#ID0EWIAC
CVE-2018-1038 | Windows Kernel Elevation of Privilege Vulnerability
Security Vulnerability
Published: 03/29/2018 | Last Updated : 04/12/2018
MITRE CVE-2018-1038

An elevation of privilege vulnerability exists when the Windows kernel fails to properly handle objects in memory. An attacker who successfully exploited this vulnerability could run arbitrary code in kernel mode. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.
To exploit this vulnerability, an attacker would first have to log on to the system. An attacker could then run a specially crafted application to take control of an affected system.
The update addresses the vulnerability by correcting how the Windows kernel handles objects in memory.

schon heftig womit Intel CPU s ohne Patch da konfrontiert werden könnten ...

aber es gibt ja nen Patch dafür
https://blog.barkly.com/meltdown-spectre-patches-list-windows-update-help
ALERT: If you've installed any January, February, or March updates for Windows 7 / Windows Server 2008 R2 64-bit machines, apply the latest April patch (either the monthly rollup KB4093118 or security-only update KB4088881) now. The April updates address a critical vulnerability dubbed "Total Meltdown" (CVE-2018-1038) introduced by previous updates.

 

[Tanzmusikus]

Das ist so nicht richtig , bei Spectre v1 erfolgt der Schutz über das Betriebssystem , kam relativ früh und hat bei AMD bei älteren CPU s zu Problemen geführt
. . .
Windows 7 and Windows Server 2008

• Windows 7 SP1 and Server 2008 R2 SP1 — KB4056897 (Security only, issued 1/3/18)
• Windows 7 SP1 and Server 2008 R2 SP1 — KB4056894 (Monthly rollup, issued 1/4/18)
• Update that disables Intel's Spectre variant 2 mitigation (which has caused issues) — KB4078130 (issued 1/27/18)

ich hab kein win 7 mehr ... , kann s daher nicht gegentesten , steht auch nicht bei ob für AMD oder Intel , jedoch gehe ich davon aus das es für beide gilt.

Spectre v1 Schutz soll über Betriebssystem und Software (z.B. Browser) aktiviert werden.
Wie ich das testen kann, weiß ich grad nicht. Steht aber im Netz (hab i-wo eine Anleitung über Visual C++ gesehen).

Spectre v2 Schutz bekomme ich trotz aller Updates auf Win7 SP1 nicht aktiviert.
Find ich blöd, dass es nur ab Win10 1607 möglich ist!

 

[Tanzmusikus]

Update:
Für AMD CPUs gibt es seit einiger Zeit neue Microcodes gegen Spectre v2:

CPUID (hex)	Revision (hex)	Datum	Stepping	Microarchitektur_Familie	Sockelbezeichnungen	Bezeichnungen_der_einzelnen_Serien
00600F12	0600063E	07.02.2018	OR-B2	Bulldozer_Zambezi_(Desktop); Bulldozer_Opteron_(Server); Fusion (APU/Mobile)	AM3 / AM3+ G34 / C32 / AM3+ FM2	FX-81x0, FX-61x0, FX-41x0; 62xx(HE/SE), 42xx(HE/EE), 32xx(HE); A10-6xxx, A8-6xxx, A6-6xxx
00600F20	06000852	06.02.2018	OR-C0	Piledriver_Vishera_(Desktop); Piledriver_Opteron_(Server); Piledriver (APU/Mobile)	AM3 / AM3+ G34 / C32 / AM3+ FM2	FX-9xx0, FX-83x0(E), FX-63x0, FX-43x0; 63xx(HE/SE), 43xx(HE/EE), 33xx(HE/EE); A10-7xxx, A8-7xxx, A6-7xxx,
00610F01	0600111F	05.03.2018	TN-A1	Piledriver Server; Piledriver Trinity (APU)	G34 FM2 / FSir2 / BGA(FP2)	Opteron; A10-5x00, A10-46xxM, A8-5x00, A8-45xxM, A6-5400, A6-44xxM, A4-5300, A4-43xxM, Athlon X4 7x0(K), Athlon X2 340, Sempron X2 240
00630F01	0603109F	27.02.2018	KV-A1	Steamroller_Kaveri_(Desktop) Steamroller_Kaveri_(Mobile)	FM2+ BGA(FP3)	A10(Pro)-78xx(K), A10-77xx(K), FX-770(K), Athlon X2 450, A4Pro-7350(B); A10-74xxP
00660F01	0600611A	26.01.2018		Excavator_(Mobile)	BGA(FP4)
00670F00	06006705	20.02.2018

CPUID 00700F01h Rev. 07000110h (09.02.2018)
CPUID 00730F01h Rev. 07030106h (09.02.2018)

CPUID 00800F11h Rev. 08001137h (14.02.2018)
CPUID 00800F12h Rev. 08001227h (09.02.2018)
CPUID 00800F82h Rev. 08008206h (12.02.2018)
CPUID 00810F10h Rev. 0810100Bh (12.02.2018)

Quelle: https://github.com/platomav/CPUMicrocodes/tree/master/AMD

Als Beispiel:
Für meinen FX-8350 habe ich bereits den Microcode CPUID 00600F20h Rev. 06000852h vom 06.02.2018 ins BIOS implementiert.
Damit ist dieser Prozessor nun in Win10 als auch endlich in Win7 (durch zusätzliche Updates) gegen Spectre v2 geschützt.

Spoiler: InSpectre & PowerShell Win7 64bit

 

[Iscaran]

@MiesMosel: Cool. Danke für die Info. Jetzt müsste man nur noch die ganzen CPUIds in Produktbezeichnungen umsortieren...gibt es da zu irgendwo eine einfache Liste ?!?

Weil nur mit der CPUID ist es echt schwer zu sehen welche CPUs nun "gefixed" sind.

 

[Tanzmusikus]

Hatte schon eine Liste angefangen - ist allerdings recht umfangreich.
Ich schua mal, was geht ...

Ergänzung (30. Juli 2018)

... bitte helft mir Fehler zu beseitigen -> am Besten per PN. Danke!

 

[MK one]

https://www.securitynow.com/author.asp?section_id=649&doc_id=744991&

wieder ne Lücke , aber nicht allzu gefährlich da nur ein paar Bytes abgegriffen werden pro Stunde

Currently, only 15 bits an hour can be exfiltrated from a CPU cache. But the authors also managed to get four times that amount out -- 60 bits/hour -- by focusing on the AVX2 module which only Intel CPUs use.

dafür braucht allerdings kein Schadcode deponiert werden , es funktioniert einfach so .. , allerdings braucht man schon sehr.. sehr.. sehr.. viel Geduld .

 

[Iscaran]

Ja. NetSpectre ist echt fies. Aber zum Glück nicht so kritisch da man ihn über Protokollierung der Datenpakete wie man es eh schon zum Schutz vor DDoS Attacken macht quasi vollständig mitigieren kann.
(Ab einer gewissen Mindestmenge an Datenpaketen ist die Geschwindigkeit des Angriffs soweit abgesunken dass man kein Byte an Daten mehr abgreifen kann).

D.h. Homeuser sind gegenüber Netspectre (der übrigens auf Spectre V1 aufbaut) nicht geschützt - aber alle "kritischen" Systeme die sowieso über DDoS-Schutz verfügen, oder Cloudanbieter etc. brauchen nur ihre DDoS-Filter beobachten/anpassen.