Meltdown & Spectre: Durchblick beim Patch-Management

Die Cloud-Umgebungen vCompany und Azure sind safe. Doch haben Sie wirklich alle notwendigen Patches auf dem Schirm?

Direkt gewarnt wird in der Berichterstattung über Meltdown, dass auch Hardware von Cloud-Umgebungen von der Sicherheitslücke betroffen ist. Arnd Rößner, CTO der Terrabit, zum aktuellen Stand von Terrabit Cloud vCompany und Microsoft Azure: „Sowohl für unser vCompany als auch Microsoft Azure gilt: Alles ist dahingehend safe, als dass die komplette Hardware, also das Backbone, in bereits gepatcht ist.“ Dennoch ist Vorsicht geboten: „Als Kunde sind Sie für Ihre VMs, also Virtual Machines, selbst verantwortlich. Sie machen sich direkt angreifbar, sofern Sie nicht die aktuellen Patches zum Server Betriebssystem aufspielen.“

Meltdown und Spectre: Was ist da eigentlich genau passiert?

Genau genommen handelt es sich um zwei Sicherheitslücken, welche den Speicherbereich von CPUs betreffen – ganz gleich ob in einer Cloud, auf dem Client oder die CPU des Servers. In allen Fällen müssen Angreifer erst Schadsoftware auf dem System installieren. Doch ist das geschehen, sind Informationen wie Passwörter, Krypto-Keys und Login-Daten vor unberechtigtem Zugriff nicht mehr sicher.

• Meltdown: Die eigentliche Trennung zwischen Betriebssystem und Software greift nicht mehr; der Angreifer kann via Speicher-Zugriff die eigentlich geheimen Daten von anderen Programmen und dem Betriebssystem auslesen. Daten, auf die er eigentlich keine Berechtigung hat. Das von der Hardware vorgegebene Berechtigungssystem „schmilzt“ sozusagen dahin (meltdown bezeichnet zu deutsch die Kernschmelze).
  Angriffe sind relativ leicht umsetzbar. Vor Meltdown schützen Patches.
• Spectre: Hier wird im Zuge der parallelisierten Arbeitsweise – Stichwort „speculative execution“ – von CPUs die Trennung zwischen einzelnen Programmen übersprungen.
  Einen 100-prozentigen Schutz vor Spectre gibt es nicht. Angriffe sind zwar nur weitaus komplexer umsetzbar, dafür können Schutzmaßnahmen hier lediglich den Angriff erschweren, nicht aber verhindern. Hierfür müsste konkret die Hardware beziehungsweise das Chip-Design geändert werden.

Virenscanner sind derzeit übrigens nicht in der Lage, Meltdown- oder Spectre-Attacken zu erkennen.

Weiterführende Links:

• Informationen und Updates der Hersteller, gebündelt auf heise online
• FAQ zu Meltdown und Spectre auf den Seiten des PC-Magazin
• Detaillierte Hintergründe auf heise online
• Erläuterung zur Funktionsweise auf Springer Professional
• Weniger abstrakte Darstellung auf Spiegel Online
• Zum Nachhören: Beitrag auf DLF

Bitte installieren Sie die Sicherheitsupdates zügig:

Die Patches blockieren Meltdown-Angriffe. Die Probleme mit Spectre lassen sich nicht verhindern, die aktuell veröffentlichten Patches erschweren aber zumindest weiter diese komplexen Angriffe.

Enorme Sicherheitslücken durch Meltdown und Spectre: Jetzt muss gepatcht werden

Hier müssen Sie jetzt patchen:

• Nutzer von Terrabit vCompany und Microsoft Azure als Cloud-Plattform sind dahingehend safe, als dass die komplette Hardware – also das Backbone – bereits gepatcht ist. Somit können wir Sie beruhigen: Der in den oben verlinkten Artikeln beschriebene Fall, dass auf den Cloud-Servern Daten fremder Cloud-Nutzer zu lesen sind, ist hardwareseitig also ausgeschlossen.
  Vorsicht: Nichtsdestotrotz sind Sie als Terrabit Kunde für Ihre Virtual Machines (VMs) und deren Updates selbst verantwortlich und machen sich angreifbar, sollten Sie nicht aktuelle Patches zum Server-Betriebssystem aufgespielt haben.
• Haben Sie Microsoft Clients im Einsatz, sollten Sie die von Microsoft zur Verfügung gestellten Sicherheitsupdates laufen lässt (Release am 9. Januar). Aufgepasst: Laut heise online legt das bereits veröffentlichte Windows-10-Update in einigen Fällen Rechner lahm.
  Terrabit Spezial-Tipp für effektives Rollout der Sicherheits-Updates: Mit Patch Management as a Service (PMaaS) sorgt die Terrabit für ein Rollout der Patches über alle Clients Ihres Unternehmens hinweg. Jedes Update/Patch wird auf einer Testumgebung auf seine Lauffähigkeit – insbesondere im Verbund mit der bei Ihnen vorherrschenden Software-Konfiguration – geprüft, sodass nichts einfriert oder abstürzt.
• Patchen Sie Ihre Server: Terrabit intern haben wir das bereits für alle Server nachgezogen, auf denen unsere Managed Services laufen (Monitoring as a Service, Software Deployment as a Service, Backup as a Service, Patch Management as a Service). Für die von Ihnen betriebenen Server sind Sie allerdings selbst verantwortlich.
  Terrabit Spezial-Tipp für effektives Rollout der Server-Betriebssystem-Updates: Mit Patch Management as a Service (PMaaS) sorgt die Terrabit für ein Rollout der Patches über alle Server und Virtual Machines Ihres Unternehmens hinweg. Jedes Update/Patch wird auf einer Testumgebung auf seine Lauffähigkeit geprüft, sodass es nicht zu unvorhergesehen Ausfällen kommt.
• Fahren Sie Browser-Updates! Grund: Spectre kann auch über Javascript ausgeführt werden kann.

Haben Sie wirklich alle notwendigen Patches auf dem Schirm? Vermeiden Sie unnötige Fehler – Mit Patch Management as a Service

Hand aufs Herz: Zum Start ins neue Jahr haben Sie nicht wirklich mit dieser umfangreichen To-do-Liste gerechnet: Ein Aktionsplan erstellen, wie Sie alle Clients und Server aktualisiert bekommen, prüfen, wann welcher Hersteller nun sein Update veröffentlicht, testen, ob auch alles funktioniert. Und dann noch der Druck, dass Sie auch keines dieser wichtigen Patches übersehen …

Wir von der Terrabit kennen diese Problematik nur zu gut. Und haben exakt deshalb Patch Management as a Service entwickelt.

• Wir kümmern uns um alle für Sie notwendigen Patches und stehen mit den jeweiligen Herstellern in engem Kontakt – so sind wir sofort informiert, wenn ein neues Update zur Verfügung steht.
• Wir setzen eine Testumgebung auf, in der wir die Patches testen – um das Zusammenspiel mit Ihrer bestehenden Software-Konfiguratioan zu prüfen
• Auf Wunsch können Sie die Patches individuell freigeben, wenn Sie zum Beispiel selbst noch testen möchten
• Technisch ist sichergestellt, dass jeder Ihrer Clients automatisch eine Verbindung zum Terabit Update / Patch-Server aufnimmt,sich die Patches zieht und installiert. Sollte es wider erwarten doch zu einem fehlgeschlagenen Update kommen, erhalten Sie entsprechende Information.

Abgerechnet wird bei Patch Management as a Service (PMaaS) für Sie transparent im Paketpreis. Sie können PMaaS jederzeit buchen oder auch abbestellen.

Sie wünschen noch weitere Infos zu Patch Management as a Service? Lassen Sie sich von uns zurückrufen, dazu bitte einfach dieses Formular ausfüllen. Selbstverständlich reicht auch eine Mail an beratung@terrabit.de, wir kümmern uns um Ihr Anliegen!