{"id":250510,"date":"2021-03-02T06:59:59","date_gmt":"2021-03-02T05:59:59","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=250510"},"modified":"2024-10-04T21:13:14","modified_gmt":"2024-10-04T19:13:14","slug":"funktionierende-spectre-exploits-fr-linux-und-windows-gefunden","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/03\/02\/funktionierende-spectre-exploits-fr-linux-und-windows-gefunden\/","title":{"rendered":"Funktionierende Spectre Exploits f&uuml;r Linux und Windows auf VirusTotal gefunden"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2021\/03\/02\/spectre-exploits-for-linux-and-windows-found-on-virustotal\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Stehen wir vor einem Meltdown, also einer Kernschmelze, der IT? Ein Sicherheitsforscher hat auf VirusTotal funktionierende Exploits f\u00fcr Linux und Windows gefunden, die die 2018 in CPUs aufgedeckte Spectre-Schwachstelle ausnutzen. Aber die Exploits wirken nur gegen ungepatchte Systeme, werden schon von Virenscannern erkannt und haben auch sonst noch Schw\u00e4chen.<\/p>\n<p><!--more--><\/p>\n<h2>Spectre: Hardware-Sicherheitsl\u00fccken<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg09.met.vgwort.de\/na\/97667820f58a423b926576dce4c90ede\" alt=\"\" width=\"1\" height=\"1\" \/>Es war das Sicherheitsthema schlechthin, welches uns im Mai 2018 besch\u00e4ftigte. Forscher, u.a. der TU-Graz, hatten Mechanismen entdeckt, um Angriffe auf eigentlich gesch\u00fctzte Speicherbereiche in Rechnern auszuf\u00fchren und Informationen auszulesen. Hierbei kommen die theoretischen Grundlagen zum Einsatz, die in diversen Forschungsdokumenten (u.a. von der Uni Graz) unter den Namen Meltdown und Spectre bekannt sind.<\/p>\n<ul>\n<li><a href=\"https:\/\/spectreattack.com\/spectre.pdf\" target=\"_blank\" rel=\"noopener\">Spectre<\/a> (Variante 1 und 2): Diese durchbricht die Isolation zwischen verschiedenen Anwendungen. Es erm\u00f6glicht es einem Angreifer, fehlerfreie Programme, die Best Practices befolgen, zu t\u00e4uschen, damit sie ihre Daten preisgeben. Tats\u00e4chlich erh\u00f6hen die Sicherheits\u00fcberpr\u00fcfungen im Rahmen der Best Practices sogar die Angriffsfl\u00e4che und k\u00f6nnen Anwendungen anf\u00e4lliger f\u00fcr Spectre machen. Diese Sicherheitsl\u00fccke besteht nach aktuellem Wissen auf allen CPUs.<\/li>\n<li><a href=\"https:\/\/meltdownattack.com\/meltdown.pdf\" target=\"_blank\" rel=\"noopener\">Meltdown<\/a> (Variante 3): Diese durchbricht die grundlegende Isolierung zwischen Benutzeranwendungen und dem Betriebssystem. Dieser Angriff erm\u00f6glicht es einem Programm, auf den Speicher und damit auch auf die Daten anderer Programme und des Betriebssystems zuzugreifen. Diese Sicherheitsl\u00fccke besteht nach aktuellem Wissen nur auf Intel CPUs.<\/li>\n<\/ul>\n<p>\u00dcber die Links lassen sich die betreffenden PDF-Dokumente abrufen. Eine Informationen finden sich auch unter <a href=\"https:\/\/meltdownattack.com\/\" target=\"_blank\" rel=\"noopener\">meltdownattack.com<\/a>.<\/p>\n<p><a href=\"https:\/\/meltdownattack.com\/\"><img decoding=\"async\" title=\"Meltdown\/Spectre\" src=\"https:\/\/i.imgur.com\/EiTnfDa.jpg\" alt=\"Meltdown\/Spectre\" \/><\/a><\/p>\n<p>Diese Ans\u00e4tze wurden von <img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/0b122c40e86948758ae5acb578009480\" alt=\"\" width=\"1\" height=\"1\" \/>Sicherheitsforschern im Google Project Zero konkret aufgegriffen. Den Leute gelang es, Exploits zu entwickeln, die sogenannte \"speculative execution side-channel attacks\" (spekulative Seitenkanalangriffe) verwenden. \u00dcber diesen Angriffsvektor ist es m\u00f6glich, ohne Berechtigungsnachweis auf Speicherinhalte fremder Prozesse zuzugreifen. Dies bedeutet, aus einem Browser oder einer Anwendung, die mit normalen Rechten l\u00e4uft, k\u00f6nnte auf Speicherbereiche des Betriebssystemkerns zugegriffen werden. In den Blog-Beitr\u00e4gen <a href=\"https:\/\/borncity.com\/blog\/2018\/01\/11\/kleiner-berblick-ber-meltdown-und-spectre\/\">Kleiner \u00dcberblick \u00fcber Meltdown und Spectre (f\u00fcr Normalos)<\/a> und <a href=\"https:\/\/borncity.com\/blog\/2018\/01\/05\/infos-zu-meltdown-und-spectre-was-man-wissen-sollte-teil-1\/\">Infos zu Meltdown und Spectre: Was man wissen sollte \u2013 Teil 1<\/a> finden sich \u00dcberblicke \u00fcber das Thema.<\/p>\n<p>Ich hatte hier im Blog in den nachfolgenden Artikeln \u00fcber die Entwicklungen in dieser Sache berichtet. Es gab Micro-Patches f\u00fcr Intel-CPUs f\u00fcr Windows und in Linux wurden auch Schutzmechanismen eingezogen, die diese Angriffe ins Leere laufen lassen. Und es kam zu Problemen und Leistungseinbu\u00dfen mit diesen Sicherheitsfixes. Im Artikel <a href=\"https:\/\/borncity.com\/blog\/2019\/04\/26\/google-spectre-schwachstelle-nicht-wirksam-zu-stopfen\/\">Google: Spectre-Schwachstelle nicht wirksam zu stopfen<\/a> hatte ich eine Position Googles aufgegriffen, dass Spectre niemals wirksam gepatcht werden k\u00f6nne. Bisher war mein Kenntnisstand, dass die Spectre-Schwachstelle aus praktischen Gr\u00fcnden nicht wirklich ausgenutzt wird &#8211; es gibt wirksamere Angriffsm\u00f6glichkeiten.<\/p>\n<h2>Exploits auf VirusTotal entdeckt<\/h2>\n<p>Der Sicherheitsforscher Julien Voisin hat zum 1. M\u00e4rz 2021 den Blog-Beitrag <a href=\"https:\/\/web.archive.org\/web\/20211001220114\/https:\/\/dustri.org\/b\/spectre-exploits-in-the-wild.html\" target=\"_blank\" rel=\"noopener\">Spectre exploits in the \"wild\"<\/a> ver\u00f6ffentlicht, der eine neue Volte offen legt. Er schreibt dazu, dass Jemand war dumm genug gewesen sei, einen funktionierenden Spectre (CVE-2017-5753)-Exploit f\u00fcr <a href=\"https:\/\/www.virustotal.com\/gui\/file\/6461d0988c835e91eb534757a9fa3ab35afe010bec7d5406d4dfb30ea767a62c\" target=\"_blank\" rel=\"noopener\">Linux<\/a> (es gibt auch einen f\u00fcr Windows) im Februar 2021 auf VirusTotal hochzuladen. Im Beitrag hat er eine schnelle Kurzanalyse des Exploits f\u00fcr Linux ver\u00f6ffentlicht (die <a href=\"https:\/\/www.virustotal.com\/gui\/file\/ecc0f2aa29b102bf8d67b7d7173e8698c0341ddfdf9757be17595460fbf1791a\/detection\" target=\"_blank\" rel=\"noopener\">Windows-Variante<\/a> wurde nicht analysiert).<\/p>\n<p><a href=\"https:\/\/i.imgur.com\/GwLf00P.png\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" title=\"Spectre-Exploit auf Virustotal\" src=\"https:\/\/i.imgur.com\/GwLf00P.png\" alt=\"Spectre-Exploit auf Virustotal\" width=\"683\" height=\"531\" \/><\/a><br \/>\nSpectre-Exploit auf Virustotal, <a href=\"https:\/\/www.virustotal.com\/gui\/file\/6461d0988c835e91eb534757a9fa3ab35afe010bec7d5406d4dfb30ea767a62c\/detection\" target=\"_blank\" rel=\"noopener\">Zum Vergr\u00f6\u00dfern klicken<\/a><\/p>\n<p>Die Kollegen von Bleeping Computer haben sich die Sache ebenfalls angesehen und <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/working-windows-and-linux-spectre-exploits-found-on-virustotal\/\" target=\"_blank\" rel=\"noopener\">schreiben<\/a>, dass die Exploits unter einem unprivilegierten Benutzer verwendet werden k\u00f6nnen, um LM\/NT-Hashes auf Windows-Systemen und die Linux-Datei \/etc\/shadow aus dem Kernel-Speicher der Zielger\u00e4te zu dumpen. Der Exploit erm\u00f6glicht auch das Dumpen von Kerberos-Tickets, die mit PsExec f\u00fcr lokale Privilegienerweiterung und laterale Bewegungen auf Windows-Systemen verwendet werden k\u00f6nnen.<\/p>\n<p>Die oben auf VirusTotal verlinkten Exploits wurden im Februar 2021 als <a href=\"https:\/\/www.virustotal.com\/gui\/file\/ecc0f2aa29b102bf8d67b7d7173e8698c0341ddfdf9757be17595460fbf1791a\/relations\" target=\"_blank\" rel=\"noopener\">Teil eines Immunity Canvas 7.26 Installers<\/a> f\u00fcr Windows und Linux hochgeladen. CANVAS\u00a0 ist eigentlich ein Penetrationstest-Tool von Immunity Inc., welches Hunderte von Exploits enth\u00e4lt und ein automatisiertes Exploit-System ist, was auch die Erstellung eigener Exploits per Framework erm\u00f6glicht.<\/p>\n<p>Vor der Ver\u00f6ffentlichung von Julien Voisin kannte wohl kein Virusscanner die Exploits, jetzt werden die Installer zumindest von einigen Antivirus-Tools auf VirusTotal als sch\u00e4dlich gemeldet. Zudem wurden ja seit dem Bekanntwerden von Spectre Sicherheitsfixes f\u00fcr\u00a0 Betriebssysteme und CPUs-Microcode-Updates ver\u00f6ffentlicht. Julien Voisin gibt an, dass die Exploits auf gepatchten Linux- und Windows-Systemen nicht funktionieren.<\/p>\n<p>Probleme bereiten aber Systeme mit Haswell und \u00e4lteren CPUs, die keine Sicherheitsfixes erhalten haben. Zudem wurden einige Patches wegen Leistungsproblemen wieder zur\u00fcckgezogen. Allerdings m\u00fcssen die Exploits mit den richtigen Parametern aufgerufen werden, um Werte aus gesch\u00fctzten Bereichen auszulesen. Die praktischen Auswirkungen scheinen noch begrenzt zu sein &#8211; laut Voisin sind einzelne Erkennungen unter Linux hard-codiert (Fedora, ArchLinux und Ubuntu werden derzeit unterst\u00fctzt, f\u00fcr Debian und CentOS gibt es Funktionen zur \u00dcberpr\u00fcfung). Die Kernschmelze f\u00e4llt also diesmal noch aus &#8211; aber die Einschl\u00e4ge kommen (gef\u00fchlt) n\u00e4her.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/01\/05\/infos-zu-meltdown-und-spectre-was-man-wissen-sollte-teil-1\/\">Infos zu Meltdown und Spectre: Was man wissen sollte \u2013 Teil 1<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/01\/05\/infos-zu-meltdown-und-spectre-was-man-wissen-sollte-teil-2\/\">Infos zu Meltdown und Spectre: Was man wissen sollte \u2013 Teil 2<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/03\/28\/neue-intel-spectre-cpu-lcke-angriffe-mit-branchscope\/\">Neue Intel Spectre CPU-L\u00fccke: Angriffe mit BranchScope<\/a><br \/>\nNeue Spectre-NG-Sicherheitsl\u00fccken in Intel CPUs<br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/07\/12\/chrome-67-mit-site-isolation-als-spectre-schutz\/\">Chrome 67 mit Site Isolation als Spectre-Schutz<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/07\/12\/details-zu-cpu-sicherheitslcken-spectre-v1-1-und-v1-2\/\">Details zu CPU-Sicherheitsl\u00fccken Spectre V1.1 und V1.2<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/06\/06\/hp-informationen-zu-derivative-side-channel-angriffen\/\">HP: Infos zu Derivative Side-Channel-Angriffen (Spectre V4)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/03\/21\/eth-lausanne-und-ibm-decken-smotherspectre-hardware-schwachstelle-auf\/\">ETH Lausanne und IBM decken SmoTherSpectre-Hardware-Schwachstelle auf<\/a><br \/>\nGoogle und Microsoft enth\u00fcllen Spectre V4 CPU-Schwachstelle<br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/03\/05\/windows-10-retpoline-spectre-2-schutz-manuell-aktivieren\/\">Windows 10: Retpoline-Spectre 2-Schutz manuell aktivieren<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/10\/19\/windows-10-19h1-spectre-v2-schutz-per-retpoline\/\">Windows 10 19H1: Spectre V2-Schutz per Retpoline<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/03\/01\/spectre-lcken-erlaubt-malware-zu-verstecken\/\">Spectre-L\u00fccken erlaubt Malware zu verstecken<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/12\/08\/neue-splitspectre-methode-windows-retpoline-spectre-schutz\/\">Neue SplitSpectre-Methode, Windows Retpoline Spectre-Schutz<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/11\/19\/microsoft-aktualisiert-meltdown-spectre-schutzseite\/\">Microsoft aktualisiert Meltdown\/Spectre-Schutzseite<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/11\/17\/intel-microcode-boot-loader-spectre-schutz-auf-usb\/\">Intel Microcode Boot Loader: Spectre-Schutz auf USB<\/a><br \/>\n<a href=\"https:\/\/web.archive.org\/web\/20240303035929\/https:\/\/borncity.com\/blog\/2018\/08\/15\/foreshadow-co-neue-spectre-hnliche-cpu-schwachstellen\/\">Foreshadow (L1TF), neue (Spectre-\u00e4hnliche) CPU-Schwachstellen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/07\/28\/netspectre-zugriff-auf-den-arbeitsspeicher-per-netzwerk\/\">NetSpectre: Zugriff auf den Arbeitsspeicher per Netzwerk<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/11\/15\/sieben-neue-spectre-lcken-in-cpus\/\">Sieben neue Spectre-L\u00fccken in CPUs<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/02\/04\/bald-angriffe-ber-meltdown-und-spectre-zu-erwarten\/\">Bald Angriffe \u00fcber Meltdown und Spectre zu erwarten?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/01\/31\/nas-qnap-und-synology-von-meltdown-spectre-betroffen\/\">NAS: QNAP und Synology von Meltdown\/Spectre betroffen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/01\/13\/meltdown-spectre-google-patcht-cloud-ohne-leistungsverlust\/\">Meltdown\/Spectre: Google patcht Cloud ohne Leistungsverlust<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/01\/22\/red-hat-wird-spectre-patches-rckgngig-machen\/\">Red Hat wird Spectre-Patches r\u00fcckg\u00e4ngig machen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/01\/12\/intel-fixes-gegen-meltdown-und-spectre-wegen-bugs-gestoppt\/\">Intel Fixes gegen Meltdown und Spectre wegen Bugs gestoppt<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/01\/12\/meltdown-spectre-warnung-vor-erstem-schadcode\/\">Meltdown\/Spectre: Warnung vor erstem Schadcode<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/01\/09\/meltdown-spectre-leistungseinbuen-durch-patches\/\">Meltdown\/Spectre: Leistungseinbu\u00dfen durch Patches \u2013 Teil 1<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/01\/12\/meltdown-spectre-leistungseinbuen-durch-patches-teil-2\/\">Meltdown\/Spectre: Leistungseinbu\u00dfen durch Patches \u2013 Teil 2<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/01\/11\/test-ist-mein-browser-durch-spectre-angreifbar\/\">Test: Ist mein Browser durch Spectre angreifbar?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/01\/07\/bringen-meltdown-spectre-die-tech-industrie-ans-wanken\/\">Bringen Meltdown\/Spectre die Tech-Industrie ans wanken?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/01\/11\/kleiner-berblick-ber-meltdown-und-spectre\/\">Kleiner \u00dcberblick \u00fcber Meltdown und Spectre (f\u00fcr Normalos)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/01\/13\/meltdown-spectre-cloud-anbieter-suchen-intel-alternativen\/\">Meltdown\/Spectre: Cloud-Anbieter suchen Intel-Alternativen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/01\/16\/vorsicht-vor-spectre-meltdown-test-inspectre\/\">Vorsicht vor Spectre\/Meltdown-Test InSpectre<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/02\/01\/meltdown-spectre-testtool-review\/\">Meltdown-\/Spectre: Testtool-\u00dcbersicht<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/04\/26\/google-spectre-schwachstelle-nicht-wirksam-zu-stopfen\/\">Google: Spectre-Schwachstelle nicht wirksam zu stopfen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/10\/06\/intel-proposal-sapm-protection-meltdown-spectre\/\">Intel Vorschlag: SAPM-Protection (gegen Meltdown, Spectre)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Stehen wir vor einem Meltdown, also einer Kernschmelze, der IT? Ein Sicherheitsforscher hat auf VirusTotal funktionierende Exploits f\u00fcr Linux und Windows gefunden, die die 2018 in CPUs aufgedeckte Spectre-Schwachstelle ausnutzen. Aber die Exploits wirken nur gegen ungepatchte Systeme, werden schon &hellip; <a href=\"https:\/\/borncity.com\/blog\/2021\/03\/02\/funktionierende-spectre-exploits-fr-linux-und-windows-gefunden\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-250510","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/250510","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=250510"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/250510\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=250510"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=250510"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=250510"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}