Spectre: Erster Exploit ist jetzt in freier Wildbahn unterwegs

Es hat nun doch einige Zeit gedauert, aber jetzt ist er da: Der erste rich­tige Exploit, der die als Spectre bekannt gewordene Schwachstelle in Pro­zes­so­ren ausnutzt, ist jetzt in freier Wildbahn unterwegs und gesichtet worden. Spectre wurde erstmals im Januar 2018 beschrieben. Es handelt sich hier um eine sehr kom­ple­xe Schwachstelle, die an einem Algorithmus ansetzt, der für die hohe Performance mo­der­ner CPUs verantwortlich ist. Die Prozessoren nutzen ungenutzte Bereiche, um spe­ku­la­ti­ve Berechnungen auszuführen - also Aufgaben, die wahrscheinlich ohnehin bald er­le­digt werden müssen. Die Ergebnisse liegen dann bereits vor, wenn sie vom Programm be­nö­tigt wer­den. Diese Methode kann bis zu einem Drittel Beschleunigung bringen.

Das Verfahren birgt aber eben auch das Risiko, dass sich Angreifer auf diesem Weg in die in­ners­ten Speicherbereiche vorarbeiten und dann sensible Informationen wie Passwörter oder Kryp­to­schlüs­sel aus dem Arbeitsspeicher auslesen können. Bisher wurden solche Attacken aber nur im Rahmen der Security-Forschung beschrieben oder als Proof-of-Concept-Malware realisiert. Denn sie sind in der Umsetzung extrem komplex.

Ursprung in einer Übungswaffe

So hat es dann auch bis heute gedauert, dass tatsächlich ein Exploit auftauchte, der nicht im Rahmen der Forschung entstand. Entdeckt wurde er vom französischen Security-Spe­zi­a­lis­ten Julien Voisin, berichtet das Magazin The Record. Über die Malware-Plattform Virus­Total steht der Schadcode inzwischen auch der Security-Branche für weitergehende Ana­ly­sen zur Verfügung. Und auch der Ur­sprung ist auf­grund des­sen re­la­tiv zü­gig ge­fun­den worden.

Entwickelt wurde der Exploit demnach nicht komplett von kriminellen Gruppen. Vielmehr kommt der eigentliche Code, mit dem die Schwachstelle ausgenutzt wurde, vom Un­ter­neh­men Immunity, das ihn seit einiger Zeit als Bestandteil seiner Canvas-Tools für Penetration-Tests anbietet. Bei der nun aufgetauchten Version, die in freier Wildbahn unterwegs ist, handelt es sich wohl um eine gecrackte Variante dieses Exploits, der nun auch unabhängig vom Immunity-Produkt eingesetzt werden kann. Die gecrackten Fassungen sollen wohl schon seit dem letzten Oktober in einigen geschlossenen Telegram-Gruppen verfügbar sein.

Inzwischen sind sie aber auch aus diesem recht begrenzten Umfeld herausgesickert und kursieren in diversen anderen Kanälen. Es dürfte nun also nicht mehr lang dauern, bis der Code auch in Wald-und-Wiesen-Malware zum Einsatz kommt. Insbesondere Ransomware-Gruppen könnten Interesse an dem Exploit haben, um beispielsweise auch verschlüsselte Daten entführen und entsprechende Lösegelder fordern zu können. Nutzer sollten also aktuell noch einmal besonders darauf achten, die jeweils aktuellsten Patches ihrer Sys­tem­her­stel­ler auch einzuspielen, denn gegen Spectre gibt es keinen einfachen Bugfix, sondern die CPU-Hersteller liefern immer neue Microcode-Aktualisierungen, um Angreifer in Schach zu halten.

Siehe auch:

Download Intel Microcode BootLoader - Schutz vor Spectre Internet, Sicherheit, Sicherheitslücke, Hacker, Security, Angriff, Hack, Trojaner, Virus, Kriminalität, Schadsoftware, Exploit, Cybercrime, Cybersecurity, Hacking, System, Hackerangriff, Internetkriminalität, Hacken, Hacker Angriffe, Hacker Angriff, Attack, Hacks, Gehackt, Crime, Schädling, Hacked, System Hacked