Artikel-ID: 110118265

Meltdown und Spectre Kernel Schwachstellen

Schlagwörter:  IBM Domino  Microsoft Exchange  Microsoft SMTP  Watchdog  WebCrypt Pro

Problembeschreibung

Es ist eine Sicherheitslücke bekannt geworden, die Intel, AMD und ARM Prozessoren betrifft. Mit diesem Knowledgebase Artikel möchten wir Ihnen Hinweise geben, was Sie tun können, um Server, auf denen die GBS iQ.Suite verwendet wird, dagegen zu schützen.  

Die Schwachstelle ermöglicht es Angreifern, den Speicher auszulesen, wodurch sie Daten oder Identitäten stehlen können. Sie ist bekannt unter anderem als Meltdown, Spectre, KPTI, KAISER und F**CKWIT. Patches wurden von Microsoft, Linux und anderen Plattformen am
3. Januar 2018 bereitgestellt. Die Ausnutzung der Schwachstelle erfordert die Ausführung von schädlichem Code.

Microsoft arbeitet eng mit Antiviren-Software-Partnern zusammen, um sicherzustellen, dass alle Kunden so schnell wie möglich die Januar-Windows-Sicherheitsupdates erhalten. Dies betrifft die Endpoint Produkte der AV Scannerprodukte, nicht die in der iQ.Suite integrierten OEM AV Scan Engines.

https://support.microsoft.com/de-de/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software

Lösung

Windows Server-basierte Computer (physisch oder virtuell) müssen die Windows-Sicherheitsupdates erhalten, die am 3. Januar 2018 veröffentlicht wurden und unter Windows-Update verfügbar sind. Die verfügbaren Updates sind unter folgendem Link aufgeführt:

https://support.microsoft.com/de-de/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution

Sicherheitsupdate auf iQ.Suite Servern

Vorgehensweise für Windows Server

Die Sicherheitsupdates vom Januar 2018 (oder nachfolgende Sicherheitsupdates), welche vor den genannten Sicherheitslücken schützen soll, werden von den integrierten Antivirus-Engines der iQ.Suite nicht automatisch installiert.

Für die Installation der Updates muß folgender Registrierungsschlüssel installiert werden:

Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD”
Data="0x00000000”

Siehe: https://support.microsoft.com/de-de/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software

Kompatibilität:

Zur Zeit stellt Microsoft Sicherheitsupdates für Windows Server 2016, Windows Server 2012R2, Windows Server 2008R2 zur Verfügung. Diese Sicherheitsupdates wurden getestet.

GBS hat die iQ.Suite mit den Windows Updates überprüft und kann die Kompatibilität bestätigen.

Hinweise:

Der Registrierungsschlüssel muss manuell gesetzt werden.

Die integrierten OEM AV Scanner (Engine, Pattern) der iQ.Suite laufen sowohl mit, als auch ohne Sicherheitsupdate.

GBS überprüft zurzeit die Kernel Updates für Linux und andere Betriebssysteme, auf denen iQ.Suite für Domino läuft. Wir werden alle notwendigen Infos hier ergänzen.

Linux - Security Patches

Die aktuell ausgelieferten Security Patches für Kernel 4.4 wurden getestet. Im Zusammenspiel mit der iQ.Suite konnten keine Probleme festgestellt werden

AIX - Security Patches

  • Firmware Patches sollen in KW 2 / 2018 verfügbar sein
  • Operating System Patches Verfügbarkeit KW 3 / 2018
Fragen & Antworten

Wird der Patch von den OEM AV Scanner Sophos, Avira, Kaspersky und McAfee unterstützt?

  • Die Sicherheitsupdates wurden in Verbindung mit den GBS iQ.Suite Versionen und den verwendeten OEM Scan Engine getestet. Es konnten keine Probleme festgestellt werden.

Wird der benötigte Registry-Key von der AV-Software automatisch gesetzt?

  • Der Registrierungsschlüssel wird von den OEM Scan Engine (der iQ.Suite) NICHT automatisch gesetzt.

Welche Auswirkungen haben die CPU Patches auf die Performance?

  • Die Auswirkungen auf die Performance variieren und können nicht absolut quantifiziert werden. Berichten zufolge können Updates die Leistung reduzieren, was die Notwendigkeit erhöht, sie speziell in Ihrer Umgebung zu überprüfen.

 

Weitere Informationen

Alle notwendigen Informationen werden in diesem Dokument ergänzt und fortgeschrieben.

WebCrypt Pro Appliance:

Offizielle Aussage von SEPPmail zu den WebCrypt Appliance:

Spectre: CVE-2017-5753, CVE-2017-5715
Meltdown: CVE-2017-5754
Stand: 09.01.2018

Die Ausführung aller dieser Angriffe beruht darauf, dass ein Angreifer eigenen Code auf der CPU ausführen darf, der spekulative Ausführung der CPUs ausnutzt, um unberechtigte Informationen auszulesen. Dies kann auch über Guest-Host-Grenzen in Virtualisierungen hinweg ausgenutzt werden, sodass eine einzige kompromittierte VM als Angriffsvektor auf alle anderen VMs des Hosts verwendet werden kann. Das Verhindern der Angriffe ist sehr komplex und kann zu merkbaren Performance-Reduzierungen von 10-30% führen.

Meltdown ist spezifisch für Intel-CPUs was auf unsere Hardware zutrifft. Spectre betrifft die Masse aller modernen CPU-Architekturen (Intel, AMD und ARM). Es ist davon auszugehen, dass alle SEPPmail Hardware-Appliances von den Schwachstellen betroffen sind. Da es sich aber um einen lokalen Angriff handelt ist dies bei einer Hardware-Appliance ohne weitere Angriffsvektoren nicht möglich auszunutzen.

Gefährdet sind daher vor allem virtuelle Deployments in denen eine Appliance durch andere VMs oder den Host selbst angreifbar wird durch Meltdown und Spectre. Es wird dringend empfohlen alle verfügbaren Hypervisor- und Betriebssystem-Patches für die verwendete Virtualisierung einzuspielen. Eine Migration auf Hardware für besseren Schutz ist denkbar wenn keine Patches verfügbar sind.

Die Lücke ist seit Anfang Januar öffentlich, aber es wurde im vorherigen Embargo-Zeitraum keine Information an das OpenBSD Betriebssystem überreicht, sodass aktuell keine Patches bereitstehen. Es ist davon auszugehen, dass der Entwicklungs- und Testzeitraum dieser Patches sich über Wochen oder Monate hinstrecken kann. Darüber hinaus bietet aktuell kein anderweitig verfügbarer Patch einen vollen Schutz gegen alle Angriffe (vor allem Spectre). Es ist möglich, dass die 3 bekannten Angriffe gegebenenfalls nur vereinzelte Exemplare einer ganzen noch unentdeckten Klasse von Angriffen angehören.

Eine Patch Timeline für SEPPmail gibt es aus diesen Gründen aktuell nicht

Zuletzt aktualisiert am 17.01.2018


« vorheriger Artikel nächster Artikel »

Wie bewerten Sie diesen Artikel?

0/5 Sterne (0 Stimmen)
Meltdown und Spectre Kernel Schwachstellen 0 5 0

Ihr Kommentar


Captcha

Zurück

Cookies erleichtern die Bereitstellung dieser Webseite. Mit der Nutzung dieser Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Mehr >>