{"id":203631,"date":"2018-04-23T22:50:21","date_gmt":"2018-04-23T20:50:21","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=203631"},"modified":"2022-08-26T10:48:31","modified_gmt":"2022-08-26T08:48:31","slug":"windows-7-total-meltdown-exploit-verfgbar","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/04\/23\/windows-7-total-meltdown-exploit-verfgbar\/","title":{"rendered":"Windows 7\/Server 2008 R2: Total Meltdown-Exploit verf&uuml;gbar"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>[<a href=\"https:\/\/borncity.com\/win\/2018\/04\/24\/windows-7-server-2008-r2-total-meltdown-exploit-went-public\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Das hat Microsoft spitzenm\u00e4\u00dfig hingekriegt: Die Sicherheitspatches der letzten Monate rei\u00dfen eine riesige Sicherheitsl\u00fccke mit dem Namen Totel Meltdown in Windows 7 und Windows Server 2008 R2. Nun hat jemand einen Exploit-Code auf GitHub zum Ausnutzen dieser Sicherheitsl\u00fccke ver\u00f6ffentlicht.&nbsp; Jetzt hei\u00dft es reagieren und das System gegen Total Meltdown abdichten. Hier der Versuch, das Ganze etwas einzuordnen und zu sortieren. <\/p>\n<p><!--more--><\/p>\n<h2>R\u00fcckblick: Worum geht es bei Meltdown?<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/f7f6ab3365844615a54ed55aa97c894d\" width=\"1\" height=\"1\"\/>Zum Jahreswechsel 2018 wurden die Schwachstellen mit den Namen Meltdown und Spectre auf (Intel) CPUs bekannt. \u00dcber diese Schwachstellen l\u00e4sst sich von nicht privilegierten (Anwendungs-)Prozessen auf Informationen im Speicher zugreifen. Ich hatte \u00fcber das Thema hier im Blog berichtet (siehe Linkliste am Artikelende).  <\/p>\n<p><img decoding=\"async\" title=\"Meltdown\/Spectre\" alt=\"Meltdown\/Spectre\" src=\"https:\/\/i.imgur.com\/EiTnfDa.jpg\"\/>  <\/p>\n<p>Die Softwarehersteller versuchten hektisch die Schwachstellen mit Updates abzudichten. Auch Microsoft schob im Januar 2018 und in den Folgemonaten einige Updates zum Abschw\u00e4chen der Meltdown-L\u00fccken auf seine Windows-Maschinen. Woody Leonhard hat auf <a href=\"https:\/\/www.askwoody.com\/2018\/total-meltdown-not-meltdown-exploit-now-available\/\" target=\"_blank\" rel=\"noopener\">askwoody.com<\/a> eine Liste der fraglichen Sicherheitsupdates zusammen gestellt.  <\/p>\n<ul>\n<li><strong>KB 4056894<\/strong> Win7\/Server 2008 R2 January Monthly Rollup.  <\/li>\n<li><strong>KB 4056897<\/strong> Win7\/Server 2008 R2 January Security-only patch.  <\/li>\n<li><strong>KB 4073578 <\/strong>Hotfix for \"Unbootable state for AMD devices in Windows 7 SP1. and Windows Server 2008 R2 SP1\" bug installed in the January Monthly Rollup and Security-only patches.  <\/li>\n<li><strong>KB 4057400<\/strong> Win7\/Server 2008 R2 Preview of the February Monthly Rollup.  <\/li>\n<li><strong>KB 4074598 <\/strong>Win7\/Server 2008 R2 February Monthly Rollup.  <\/li>\n<li><strong>KB 4074587 <\/strong>Win7\/Server 2008 R2 February Security-only patch.  <\/li>\n<li><strong>KB 4075211 <\/strong>Win7\/Server 2008 R2 Preview of the March Monthly Rollup.  <\/li>\n<li><strong>KB 4091290 <\/strong>Hotfix for \"smart card based operations fail with error with SCARD_E_NO_SERVICE\" bug installed in the February Monthly Rollup.  <\/li>\n<li><strong>KB 4088875<\/strong> Win7\/Server 2008 R2 March Monthly Rollup.  <\/li>\n<li><strong>KB 4088878<\/strong> Win7\/Server 2008 R2 March Security-only patch.  <\/li>\n<li><strong>KB 4088881<\/strong> Win7\/Server 2008 R2 Preview of April Monthly Rollup.<\/li>\n<\/ul>\n<p>Das Problem: Mit den Sicherheitsupdates wird eine weitere Sicherheitsl\u00fccke mit dem Namen Total Meltdown aufgerissen.  <\/p>\n<h2>Was ist Total Meltdown?<\/h2>\n<\/p>\n<p>Ich hatte Ende M\u00e4rz 2018 im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2018\/03\/28\/windows-7-januar-patches-reien-total-meltdown-sicherheitslcke\/\">Windows 7: Januar-\/Februar 2018-Patches rei\u00dfen Total Meltdown-Sicherheitsl\u00fccke<\/a> das Problem beschrieben. Die von Microsoft zum Schlie\u00dfen der Meltdown-Sicherheitsl\u00fccke bereitgestellten Updates rei\u00dfen unter Windows 7 und Windows Server 2008 R2 ein weiteres Sicherheitsloch mit dem Namen Total Meltdown auf. <\/p>\n<p>Damit kann jeder Prozess ohne Exploits unter Windows 7 auf beliebige Speicherbereiche lesend und schreibend zugreifen. Die Ausnutzung erfordert lediglich schlichte Lesen- und Schreibenoperationen auf den bereits gemappten virtuellen Speicher. Darauf macht Ulf Frisk im Blog-Beitrag <a href=\"https:\/\/blog.frizk.net\/2018\/03\/total-meltdown.html\" target=\"_blank\" rel=\"noopener\">Total Meltdown<\/a> aufmerksam. Auch die M\u00e4rz 2018-Patches haben an dieser Sicherheitsl\u00fccke nichts ge\u00e4ndert, wie Ulf Frisk in seinem Blog-Beitrag nachgetragen hat. <\/p>\n<h2>Total Meltdown Exploit verf\u00fcgbar<\/h2>\n<p>Jetzt hat ein Hacker und InfoSec Researcher mit dem K\u00fcrzel <a href=\"https:\/\/gist.github.com\/xpn\" target=\"_blank\" rel=\"noopener\">xpn<\/a> auf Github den Code f\u00fcr einen Exploit der Sicherheitsl\u00fccke CVE-2018-1038.c <a href=\"https:\/\/gist.github.com\/xpn\/bdb99cee8895bab4b1a0671696570d94\" target=\"_blank\" rel=\"noopener\">ver\u00f6ffentlicht<\/a>. Die zugeh\u00f6rige Beschreibung hat xpn <a href=\"https:\/\/blog.xpnsec.com\/total-meltdown-cve-2018-1038\/\" target=\"_blank\" rel=\"noopener\">hier<\/a> publiziert. Damit stehen eigentlich alle Informationen bereit, um Systeme mit Windows 7 und Windows Server 2008 \/ R2 anzugreifen. Woody Leonhard hat diese Details gerade auf askwoody.com <a href=\"https:\/\/www.askwoody.com\/2018\/total-meltdown-not-meltdown-exploit-now-available\/\" target=\"_blank\" rel=\"noopener\">ver\u00f6ffentlicht<\/a>. <\/p>\n<h2>Was kann man tun? <\/h2>\n<p>Microsoft hat erstmalig am 29.3.2018 ein Sicherheits-Update nachgeschoben (siehe <a href=\"https:\/\/borncity.com\/blog\/2018\/03\/30\/windows-7-server-2008-r2-update-kb4100480-29-3-2018\/\">Windows 7\/Server 2008 R2: Update KB4100480 (29.3.2018)<\/a>) \u2013 ein Update, welches f\u00fcr eigene Probleme verantwortlich ist. Und am 10. April 2018 folgte dann ein <a href=\"https:\/\/support.microsoft.com\/de-de\/help\/4100480\/windows-kernel-update-for-cve-2018-1038\" target=\"_blank\" rel=\"noopener\">Windows-Kernel-Update f\u00fcr CVE-2018-1038<\/a> f\u00fcr Windows 7 Service Pack 1 und Windows Server 2008 R2 Service Pack 1, mit dem Total Meltdown geschlossen wurde. Microsoft schreibt:<\/p>\n<blockquote>\n<p>Dieses Update behebt eine Sicherheitsanf\u00e4lligkeit bez\u00fcglich Rechteerweiterungen im Windows-Kernel der 64-Bit-Version (x64) von Windows. Diese Sicherheitsanf\u00e4lligkeit ist in CVE-2018-1038 dokumentiert. Benutzer m\u00fcssen dieses Update anwenden, um vor dieser Sicherheitsanf\u00e4lligkeit vollst\u00e4ndig gesch\u00fctzt zu sein, falls ihre Computer im Januar 2018 oder danach durch die Installation eines der folgenden Updates aktualisiert wurden.<\/p>\n<\/blockquote>\n<p>Der KB-Artikel wurde am 17. April 2018 letztmalig aktualisiert. Also alles in Butter, es sind ja Patches vorhanden? Mitnichten, denn die Patches vom M\u00e4rz und April bringen andere Probleme.<\/p>\n<p>Update <a href=\"https:\/\/support.microsoft.com\/en-us\/help\/4093118\/windows-7-update-kb4093118\" target=\"_blank\" rel=\"noopener\">KB4093118<\/a> (beschrieben im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2018\/04\/11\/patchday-updates-fr-windows-7-8-1-server-mrz-2018\/\">Patchday: Updates f\u00fcr Windows 7\/8.1\/Server April 2018<\/a>) f\u00fchrt auf diversen Maschinen (vor allem Windows Server 2008 R2 zu einer Installationsschleife. Zudem tritt bei manchen Maschinen ein SMB-Memory-Leak auf. Ich hatte im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2018\/04\/19\/problemsammlung-zu-microsoft-april-2018-updates\/\">Problemsammlung zu Microsoft April 2018 Updates<\/a> auf die diversen Probleme hingewiesen. <\/p>\n<p>In den Kommentaren schrieben einige Leute, dass sie die Updates ausgeblendet h\u00e4tten. Wer also Update <a href=\"https:\/\/support.microsoft.com\/en-us\/help\/4093118\/windows-7-update-kb4093118\" target=\"_blank\" rel=\"noopener\">KB4093118<\/a> ausgeblendet hat, ist voraussichtlich vor dem obigen Exploit ungesch\u00fctzt. <\/p>\n<blockquote>\n<p>Tipp: Im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2018\/04\/19\/problemsammlung-zu-microsoft-april-2018-updates\/\">Problemsammlung zu Microsoft April 2018 Updates<\/a> hatte ich auf den Tipp von Blog-Leserin Monika verwiesen. Diese hat festgestellt, dass das Update KB4093113 (RollUp) das Problem verursacht. Sie hat dies auf den Testrechnern deinstalliert und nun taucht auch die Endlosschleife bei der Installation des Sicherheitsupdates KB4093118 nicht mehr auf.<\/p>\n<\/blockquote>\n<p>Und in dieser Richtung d\u00fcrften sich eine Menge Systeme mit Windows 7 SP1 oder Windows Server 2008 R2 SP1 auf einem nicht vollst\u00e4ndig gesch\u00fctzten Patch-Stand befinden. Woody Leonhard gibt <a href=\"https:\/\/www.askwoody.com\/2018\/total-meltdown-not-meltdown-exploit-now-available\/\" target=\"_blank\" rel=\"noopener\">hier<\/a> einige Hinweise, was Nutzer von Windows 7 SP1 und Administratoren von Windows Server 2008 R2 tun k\u00f6nnen.<\/p>\n<ul>\n<li>Das Sicherheitsupdate <a href=\"https:\/\/support.microsoft.com\/en-us\/help\/4093108\/windows-7-update-kb4093108\" target=\"_blank\" rel=\"noopener\">KB4093108<\/a> (Security only update) vom 7. April 2018 manuell aus dem <a href=\"https:\/\/www.catalog.update.microsoft.com\/Search.aspx?q=KB4093108\" target=\"_blank\" rel=\"noopener\">Microsoft Update Catalog<\/a> herunterladen und auf den Maschinen installieren.  <\/li>\n<li>Oder das Sicherheitsupdate <a href=\"https:\/\/support.microsoft.com\/en-us\/help\/4093118\/windows-7-update-kb4093118\" target=\"_blank\" rel=\"noopener\">KB4093118<\/a> (Monthly Quality Update) vom 23. April 2017 installieren lassen (sofern dies klappt). <\/li>\n<\/ul>\n<p>Woody Leonhard r\u00e4t, vor der Installation der Updates ein Backup anzufertigen, um im Falle von Problemen das System zur\u00fccksetzen zu k\u00f6nnen. Ist die Installation der obigen Updates wegen der bekannten Bugs oder Installationsproblemen nicht m\u00f6glich? Die letzte M\u00f6glichkeit schl\u00e4gt MVP-Kollegin Susan Bradley <a href=\"https:\/\/www.askwoody.com\/2018\/patch-lady-patch-or-not-to-patch\/\" target=\"_blank\" rel=\"noopener\">hier<\/a> vor: Die Maschine so weit zur\u00fcckzusetzen, dass keine Januar 2018-Updates mehr installiert sind. <\/p>\n<p>Auf die Installation von Update KB4100480 (siehe <a href=\"https:\/\/borncity.com\/blog\/2018\/03\/30\/windows-7-server-2008-r2-update-kb4100480-29-3-2018\/\">Windows 7\/Server 2008 R2: Update KB4100480 (29.3.2018)<\/a>) wird man wegen der damit einhergehenden Probleme (siehe <a href=\"https:\/\/www.askwoody.com\/forums\/topic\/patch-lady-new-update-for-windows-7-kb-4100480\/#post-179854\" target=\"_blank\" rel=\"noopener\">hier<\/a> und <a href=\"https:\/\/www.askwoody.com\/2018\/patch-lady-new-update-for-windows-7-kb-4100480\/\" target=\"_blank\" rel=\"noopener\">hier<\/a>) in den meisten F\u00e4llen verzichten m\u00fcssen. <\/p>\n<p>Nur Leute, die mit Windows 8.1 oder Windows 10 bzw. den Server Pendants unterwegs sind, bleiben von diesem Schlammassel nach bisherigem Wissen verschont. Ich w\u00fcrde sagen: Da blickt doch keine Sau mehr durch, was Microsoft da veranstaltet. Oder wie seht ihr das? Danke an Blog-Leser Christian H. f\u00fcr den Hinweis auf den Artikel bei askwoody.com. Ich hoffe, jetzt nichts wichtiges \u00fcbersehen zu haben. <\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/><\/strong><a href=\"https:\/\/borncity.com\/blog\/2018\/01\/04\/windows10-kritische-updates-vom-3-1-2017\/\">Windows 10: Kritische Updates vom 3.1.2018<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/01\/04\/kritische-sicherheitsupdates-fr-windows-7-8-1-3-1-2018\/\">Kritische Sicherheitsupdates f\u00fcr Windows 7\/8.1\/Server (3.\/4.1.2018)<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/01\/04\/weitere-updates-internet-explorer-gdi-3-1-2018\/\">Weitere Updates (Internet Explorer, GDI) 3.1.2018<\/a>  <\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/2018\/03\/13\/sicherheits-updates-fr-windows-7-8-1-13-mrz-2018\/\">Sicherheits-Updates f\u00fcr Windows 7\/8.1<\/a> (13. M\u00e4rz 2018)<br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/03\/16\/patchday-weitere-microsoft-updates-zum-13-mrz-2018\/\">Patchday: Weitere Microsoft Updates zum 13. M\u00e4rz 2018<\/a> <br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/03\/30\/windows-7-server-2008-r2-update-kb4100480-29-3-2018\/\">Windows 7\/Server 2008 R2: Update KB4100480 (29.3.2018)<\/a> <\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/2018\/04\/11\/patchday-updates-fr-windows-7-8-1-server-mrz-2018\/\">Patchday: Updates f\u00fcr Windows 7\/8.1\/Server April 2018<\/a>)<br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/04\/19\/problemsammlung-zu-microsoft-april-2018-updates\/\">Problemsammlung zu Microsoft April 2018 Updates<\/a>&nbsp; <\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/2018\/03\/14\/patchday-windows-10-updates-13-mrz-2018\/\">Patchday: Windows 10-Updates 13. M\u00e4rz 2018<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/03\/12\/intel-microcode-updates-stand-11-mrz-2018\/\">Intel Microcode-Updates Stand 11. M\u00e4rz 2018<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/01\/12\/intel-fixes-gegen-meltdown-und-spectre-wegen-bugs-gestoppt\/\">Intel Fixes gegen Meltdown und Spectre wegen Bugs gestoppt<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/02\/01\/meltdown-spectre-testtool-review\/\">Meltdown-\/Spectre: Testtool-\u00dcbersicht<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/01\/04\/meltdown-und-spectre-was-windows-nutzer-wissen-mssen\/\">Meltdown und Spectre: Was Windows-Nutzer wissen m\u00fcsse<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/01\/05\/infos-zu-meltdown-und-spectre-was-man-wissen-sollte-teil-1\/\">Infos zu Meltdown und Spectre: Was man wissen sollte \u2013 Teil 1<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/01\/05\/infos-zu-meltdown-und-spectre-was-man-wissen-sollte-teil-2\/\">Infos zu Meltdown und Spectre: Was man wissen sollte \u2013 Teil 2<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Das hat Microsoft spitzenm\u00e4\u00dfig hingekriegt: Die Sicherheitspatches der letzten Monate rei\u00dfen eine riesige Sicherheitsl\u00fccke mit dem Namen Totel Meltdown in Windows 7 und Windows Server 2008 R2. Nun hat jemand einen Exploit-Code auf GitHub zum Ausnutzen dieser Sicherheitsl\u00fccke ver\u00f6ffentlicht.&nbsp; Jetzt &hellip; <a href=\"https:\/\/borncity.com\/blog\/2018\/04\/23\/windows-7-total-meltdown-exploit-verfgbar\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185,2557],"tags":[1782,4325],"class_list":["post-203631","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","category-windows-server","tag-sicherheitslucke","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/203631","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=203631"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/203631\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=203631"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=203631"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=203631"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}