![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Wie sieht es eigentlich Ende Januar 2018 in Sachen Testtools f\u00fcr Meltdown und Spectre unter Windows aus? Im Blog-Beitrag werfe ich einen Blick auf die Situation und stelle zwei neue Test-Tools aus deutschen Landen vor.<\/p>\nWie sieht es eigentlich Ende Januar 2018 in Sachen Testtools f\u00fcr Meltdown und Spectre unter Windows aus? Im Blog-Beitrag werfe ich einen Blick auf die Situation und stelle zwei neue Test-Tools aus deutschen Landen vor.<\/p>\n
Es ist nun fast einen Monat her, dass die Angriffsmethoden Spectre und Meltdown \u00f6ffentlich wurden. \u00dcber diese Sicherheitsl\u00fccken k\u00f6nnen Angreifen Informationen aus den Systemen abgreifen.<\/p>\n
![\"Meltdown\/Spectre\"](\"https:\/\/i.imgur.com\/EiTnfDa.jpg\" "\\"Meltdown\/Spectre\\"")
<\/p>\n
W\u00e4hrend sich Meltdown auf Intel-CPUs bezieht, funktionieren die Angriffsmethoden Spectre 1 und Spectre 2 wohl mit einer Vielzahl von CPUs verschiedenster Hersteller, u.a. AMD, ARM, IBM, Intel, MIPS etc. Bisher sind zwar keine Angriffe bekannt. Microsoft und Konsorten haben aber Updates f\u00fcr Windows, f\u00fcr das BIOS und f\u00fcr die Browser ausgerollt. Wie schaut es jetzt eigentlich in Sachen Tools zum Testen der System auf die Angriffsmethoden Spectre und Meltdown aus? Hier ein kurzer \u00dcberblick, was mir bisher bekannt ist.<\/p>\n
Microsoft hat f\u00fcr Windows ein PowerShell cmdlet bereitgestellt, mit dem man \u00fcberpr\u00fcfen kann, ob Ma\u00dfnahmen durchzuf\u00fchren sind. Im Blog-Beitrag Meltdown und Spectre: Was Windows-Nutzer wissen m\u00fcssen<\/a> hatte ich eine L\u00f6sung von Microsoft mittels PowerShell skizziert. Hier eine Ausgabe in der Kommandozeile.<\/p>\n Aber diese L\u00f6sung ist nur etwas f\u00fcr Cracks \u2013 und auf meiner Windows 7 SP1-Plattform bekomme ich das Cmdlet schon nicht geladen. Irgend etwas fehlt in der PowerShell-Umgebungen. Auch sind die ausgegebenen Werte recht kryptisch, wenn auch die PowerShell Hinweise auf Ma\u00dfnahmen in der Ausgabe liefert.<\/p>\n Der Hersteller Ashampoo brachte Anfang Januar 2018 den Spectre Meltdown CPU-Checker heraus. Das Tool kann unter Windows ausgef\u00fchrt werden, und liefert in einer 'Schwarz-Wei\u00df'-Entscheidung Hinweise, ob das System verwundbar ist (siehe folgender Screenshot).<\/p>\n Ich hatte zu diesem Tool den Blog-Beitrag Tipp: Test mit dem Ashampoo Spectre Meltdown CPU-Checker<\/a> ver\u00f6ffentlicht. In den Kommentaren kam ja die R\u00fcckmeldung, dass das Tool einmal nur ein Sch\u00e4tzeisen sei. Egal was man f\u00fcr Patches installiert oder nicht, es w\u00fcrde 'nicht verwundbar' angezeigt.<\/p>\n Dann hat mich Blog-Leser Ulrich H angemailt und auf eine Diskussion zu Meltdown\/Spectre bei Intel hingewiesen. Er schrieb in seiner Mail:<\/p>\n Gestern ist mir etwas unter die Augen gekommen, was ich nicht verstehe. Vielleicht wissen Sie weiter.<\/p>\n Ich benutze einen Intel NUC D34010WYK mit Windows 7 Home Edition, 64 bit mit den aktuellen Updates und MSE als Virenprogramm. Obwohl die Leute BIOS-Updates installiert haben, wird das System als angreifbar ausgewiesen. Er schrieb mir in einer zweiten Mail:<\/p>\n Der Test mit Ashampoo verlief auf dem NUC mit neuestem Update ebenso negativ wie das cmdlet Speculationcontrol \u00fcber die Powershell. Wie ich soeben im Intel Forum gesehen habe, bin ich nicht allein: Aber das ist nur eine Randnotiz. K\u00f6nnte auch auf ein Problem mit dem Patch hinweisen. Andererseits hat mich Blog-Leser Christop W. per Mail auf folgendes Problem aufmerksam gemacht:<\/p>\n Sie hatten neulich das Tool von Ashampoo vorgestellt\u2026<\/p>\n Leider funktioniert das inzwischen nicht, auch wenn man die geforderte Software von MS installiert:<\/p>\n Nach 2 Updates und Neustarts kommt weiterhin die Fehlermeldung:<\/p>\n Das ist nat\u00fcrlich \u00fcbel. Auf meinem System habe ich diese Fehlermeldungen zwar nicht bekommen. Wer aber die Meldung erh\u00e4lt, d\u00fcrfte mit dem Tool, aus welchen Gr\u00fcnden auch immer, scheitern. Fazit: Nicht wirklich brauchbar.<\/p>\n Dann gibt es von Gibson Research Corporation, dessen Gr\u00fcnder Steve Gibson ist, das Tool InSpectre. Ich hatte es im Blog-Beitrag Vorsicht vor Spectre\/Meltdown-Test InSpectre<\/a> vorgestellt. Als dieser Blog-Beitrag entstand, hatte ich das Tool auf Virustotal hochgeladen und erhielt bei vielen Virenscannern die Anzeige, dass es einen Trojaner enthalte. Ich ging zwar von einem falschen Alarm aus, warnte aber vorerst vor dessen Einsatz. Inzwischen ist das Ganze entsch\u00e4rft, Steve Gibson hat das Tool \u00fcberarbeitet und Virustotal sieht es als sicher an.<\/p>\n Das Tool InSpectre gibt es f\u00fcr Windows zum kostenlosen Download auf dieser Webseite<\/a>. Das Programme ist nur 160 KByte gro\u00df und muss nicht installiert werden. Wer nur die Ergebnisse angezeigt haben will, kann das Tool ohne Administratorrechte ausf\u00fchren (siehe obiges Bild).<\/p>\n Genial finde ich, dass man, sofern das Tool mit Administratorberechtigungen ausf\u00fchrt, den Schutz vor Meltdown und Spectre, sofern vorhanden abschalten kann. Aber: Dieses Tool liefert mir quasi auch nur eine Schwarzwei\u00df-Aufnahme meines Systems.<\/p>\n Erg\u00e4nzung:<\/strong> Auf Grund des nachfolgenden Kommentars habe ich die Version vom 31. Januar 2018 heruntergeladen. \u00dcber das Systemmen\u00fc kann man nun in der Tat \u00fcber den Befehl Show System Summary<\/em> technische Details anzeigen lassen (siehe obiges Bild).<\/p>\n Alex Ionescu<\/a> hat ebenfalls ein kleines Tool mit dem Namen SpecuCheck ver\u00f6ffentlicht. Der Quellcode ist auf Github abrufbar<\/a> und man kann sich seine eigene Version compilieren.<\/p>\n Obiger Screenshot zeigt ein Ergebnis eines solchen Tests, welches einerseits in der Eingabeaufforderung erscheint und andererseits f\u00fcr meinen Geschmack etwas kryptisch ist. F\u00fcr die breite Masse wird es eher nichts sein.<\/p>\n Im Artikel zum Ashampoo-Tool<\/a> hatte ich mich in einem Kommentar<\/a>, was die Frage, ob Pr\u00fcfsoftware Administratorrechte braucht, etwas weit aus dem Fenster gelehnt. Nat\u00fcrlich sollte die Pr\u00fcfung ohne Administratorrechte auskommen. Aber Provokation geh\u00f6rt zum Blog und ich kann nicht alles wissen bzw. bedenken. Meine Leser fangen mich dann schon ein, es wird korrigiert und alle haben was davon.<\/p>\n Vor einigen Tagen schlug dann eine Mail von Stefan Kanthak ein, der mich darauf hin wies, dass f\u00fcr einen Meltdown-\/Spectre-Check keine administrativen Berechtigungen erforderlich seien. Stefan hatte f\u00fcr mich ein Tool verlinkt, welches mit normalen Benutzerrechten l\u00e4uft und die Pr\u00fcfung durchf\u00fchrte. Er schrieb dazu 'die verwendeten Funktionen des Win32-API gibt's ab NT 3.1, d.h. das Programm kann auf ALLEN Versionen von NT laufen!'.<\/p>\n Ok, wieder was gelernt. Ist dein Ruf erst ruiniert, bloggt's sich g\u00e4nzlich ungeniert. Im nix wissen bin ich halt gut dabei Noch ein W\u00f6rtchen zu Stefan Kanthak \u2013 irgendwo klingelte bei mir was, schwirren doch zwei Namen (Christoph Schneegans<\/a> und Stefan Kanthak<\/a>) im Hinterkopf, wenn es um Windows-Absicherung geht (siehe auch Was sch\u00fctzt vor Locky und anderer Ransomware?<\/a>). Dann gibt es noch die Top 100 MSRC 2017<\/a> wo Stefan Kanthak auftaucht<\/a>.<\/p><\/blockquote>\n Ich hatte mir das sehr schlanke Programm (erinnerungsm\u00e4\u00dfig unter 2 KByte) angesehen, aber es lieferte nur Flags mit Statusinformationen. Auf meinen Einwand, 'Was f\u00e4ngt ein normaler Benutzer, der wissen will, ob sein System f\u00fcr Spectre und Meltdown anf\u00e4llig ist, mit den Ausgaben an?', hat Stefan die explizite Angabe, ob die Gegenma\u00dfahme aktiv ist oder nicht, erg\u00e4nzt. Herausgekommen sind zwei Programme zum Testen auf die Angriffe mit Meltdown<\/a> und Spectre<\/a>.<\/p>\n Testet man die beiden .exe-Dateien in virustotal.com, liefert nur Baidu einen falschen Alarm.<\/p><\/blockquote>\n Nachfolgend sind die beiden Dialogfelder, die die zwei Programme nach einer Pr\u00fcfung ausgeben.<\/p>\n Die Programme geben neben dem Hinweis, ob ein Schutz gegen Meltdown und Spectre gefunden wurde auch die Detailinformationen, was von der CPU an SpeculationControl an Flags unterst\u00fctzt wird an. F\u00fcr den normalen Nutzer hei\u00dft dies: Er sieht auf den ersten Blick, ob ein Schutz gegen die Angriffe installiert ist. Wer tiefergehende Informationen ben\u00f6tigt, schaut sich die Werte f\u00fcr KVAShadowFlags <\/em>und SpeculationControlFlags<\/em> an. Mit den Werten 1 bzw. 0 wird angezeigt, ob das betreffende Flag (im von Windows zur\u00fcckgegebenen Status-Wort) gesetzt ist oder nicht.<\/p>\n Wer sich f\u00fcr die Flags bzw. CPU-Optionen interessiert, kann sich ggf. in diesem Intel-Dokument oder im nachfolgend erw\u00e4hnten Quellcode der Tools schlau machen. Zu den Programmen selbst schreibt mir Stefan folgendes:<\/p>\n Alex Ionescus SpecuCheck.exe laeuft ebenfalls ohne Administratorrechte, Zu den beiden oben verlinkten Testprogrammen gibt Stefan Kanthak an, dass diese ohne Zugriff auf das Win32-API auskommen, d.h. sie haben keine Referenz auf KERNEL32.DLL und USER32.DLL mehr. Sie nutzen nur noch das (undokumentierte) NT-API alias \"native\" API, dessen NtQuerySystemInformation() <\/em>die alleinige Quelle f\u00fcr die ben\u00f6tigten Informationen ist, und brauchen weiterhin keine Administratorrechte. Zudem bietet Stefan Kanthak folgendes an:<\/p>\n Wer sie selbst genauso (nach)bauen will holt sich das \"makefile\" (hier<\/a>), dazu die beiden Icons (meltdownattack.com-Icon<\/a>, spectreattack.com-Icon<\/a>) die er als MELTDOWN.ICO und SPECTRE.ICO im selben Verzeichnis wie GIMMICK.MAK speichert, startet die Eingabeaufforderung (s)einer Windows-Entwicklungsumgebung (beispielsweise das \"Platform SDK\" von) und f\u00fchrt dann NMAKE.exe \/F GIMMICK.MAK aus.<\/p>\n Stefan stellt auf dieser Webseite<\/a> noch ein Programm bereit, welche beide Tests auf Meltdown und Spectre durchf\u00fchrt und die Ergebnisse in zwei separaten Dialogfeldern ausgibt. Dort nutzt er das Win32-API und zeigt in den Dialogfeldern jeweils das passende Icon an. Zum Selbstbau von BTI_RDCL.EXE gibt es die Datei BTI_RDCL.MAK<\/a>.<\/p>\n PS: Schl\u00e4gt bei euch w\u00e4hrend des Besuchs der Webseiten von Stefan Kanthak der Virenscanner an? Auch das ist erkl\u00e4rbar. Stefan bietet auf einer Seiten das Eicar-Test-Virus in einer DATA-URL<\/a> an. Manche Browser (z.B. Chrome) laden diese Inhalte und die Virenscanner schlagen an.<\/p><\/blockquote>\n An dieser Stelle mein Dank an Stefan Kanthak f\u00fcr die beiden Tools und die zus\u00e4tzlichen Erl\u00e4uterungen. Vielleicht helfen die Tools ja dem einen oder anderen Admin oder Blog-Leser, der tiefer in die Thematik einsteigen will. Im Quellcode sind die Flags \u00fcbrigens auch dokumentiert.<\/p>\n Unter dem Strich zeigt der Beitrag aber, dass die gesamte Situation sehr un\u00fcbersichtlich ist. Wir haben fast eine Hand voll an Tools, wobei einige ganz sch\u00f6ne Mucken aufweisen. Bez\u00fcglich der Updates f\u00fcr Meltdown und Spectre sieht es leider nicht besser aus.<\/p>\n \u00c4hnliche Artikel<\/strong> Wie sieht es eigentlich Ende Januar 2018 in Sachen Testtools f\u00fcr Meltdown und Spectre unter Windows aus? Im Blog-Beitrag werfe ich einen Blick auf die Situation und stelle zwei neue Test-Tools aus deutschen Landen vor.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[6753,4328,6752,3990,4325],"class_list":["post-200337","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-meltdown","tag-sicherheit","tag-spectre","tag-tools","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/200337","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=200337"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/200337\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=200337"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=200337"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=200337"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"Speculation-Control-Settings](\"https:\/\/i.imgur.com\/GInznY5.jpg\" "\\"Speculation-Control-Settings")
<\/p>\nDer Ashampoo Spectre Meltdown CPU-Checker<\/h2>\n
![\"Ashampo](\"https:\/\/i.imgur.com\/0GdHBiZ.jpg\" "\\"Ashampo")
<\/p>\n
\nBez\u00fcglich Specte\/Meltdown habe ich ein BIOS Update auf Version 46 gemacht, was ein Microcode Update zu der Misere enth\u00e4lt. Im Anschluss wurde dann \u00fcber Powershell das Script \" Speculationcontrol \" ausgef\u00fchrt. Das Ergebnis ist als jpg-Datei beigef\u00fcgt. M\u00fcsste hier nicht bei der Branche Target Injection alles gr\u00fcn und auf true sein ?<\/p><\/blockquote>\n
\n Siehe Post Nr 5.<\/p><\/blockquote>\n![\"Fehler](\"https:\/\/i.imgur.com\/J98cmSC.jpg\" "\\"Fehler")
<\/p><\/blockquote>\n![](\"https:\/\/i.imgur.com\/dvFyslz.jpg\")
<\/p><\/blockquote>\nTesttool InSpectre<\/h2>\n
![\"Inspectre-Ergebnis\"](\"https:\/\/i.imgur.com\/IJSgo9S.jpg\" "\\"Inspectre-Ergebnis\\"")
<\/p>\n![\"Inspectre-Status\"](\"https:\/\/i.imgur.com\/kVF63M2.jpg\" "\\"Inspectre-Ergebnis\\"")
<\/p>\nSpecuCheck von Alex Inonescu<\/h2>\n
![\"SpecuCheck](\"https:\/\/i.imgur.com\/KSm6Eke.jpg\" "\\"SpecuCheck")
<\/p>\nMeltdown-\/Spectre-Check von Stefan Kanthak<\/h2>\n
![\"Zwinkerndes](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2018\/01\/wlEmoticon-winkingsmile-2.png\")
.<\/p>\n![\"Meltdown-Check](\"https:\/\/i.imgur.com\/A35Z1tZ.jpg\" "\\"Meltdown-Check")
<\/p>\n![\"Spectre-Check](\"https:\/\/i.imgur.com\/c0097qa.jpg\" "\\"Spectre-Check")
<\/p>\n
\nist aber WESENTLICH fetter als meine 4 KB oder 6,5 KB kleinen Progr\u00e4mmchen. Dummerweise missbraucht er anstelle der Win32-Funktion wsprintf() die [MSV]CRT-Funktion swprintf() und somit die MSVCRT, die ich in allen meinen Programmen vermeide bzw. durch meine eigene NOMSVCRT (siehe<\/a>) ersetze.<\/p><\/blockquote>\n
\nSicherheitsl\u00fccke: Bug in Intel CPUs bedroht Betriebssysteme<\/a>
\nMeltdown und Spectre: Was Windows-Nutzer wissen m\u00fcssen<\/a>
\nInfos zu Meltdown und Spectre: Was man wissen sollte \u2013 Teil 1<\/a>
\nInfos zu Meltdown und Spectre: Was man wissen sollte \u2013 Teil 2
\n<\/a>Vorsicht vor Spectre\/Meltdown-Test InSpectre<\/a>
\nTipp: Test mit dem Ashampoo Spectre Meltdown CPU-Checker<\/a>
\nSpectre\/Meltdown-Check in Linux<\/a>
\nTest: Ist mein Browser durch Spectre angreifbar?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"