22 Jan 2018

Meltdown und Spectre – Fassen wir mal zusammen

Seit gut 2 Wochen wird fast täglich irgendwie von Meltdown und Spectre gesprochen. Was kannst und musst Du als Surface User eigentlich bei welchem Surface tun um sicher zu sein ?

Antivirus Programm, Windows Update, BIOS-Patch, Firmware – auf welchem Gerät, auf welchem Betriebssystem. Bin ich betroffen, bin ich gepatched ? Irgendwie hab ich den Überblick verloren und mich daher dran gesetzt, ihn wieder zu gewinnen.

Was kann passieren

Ich will euch hier keine Szenarien aufmalen was theoretische alles möglich ist, wie die Schwachstelle genau funktioniert oder welche Angriffe damit möglich sind. Aktuell sind nur so genannte PoC – Proof of Concepts – veröffentlicht. Eine aktive Ausnutzung der zugrundliegenden Schwachstelle scheint es noch nicht geben. Was man als Anwender wissen muss: Es betrifft einen Mechanismus in den Intel-Chipsätzen, die schnelleres Arbeiten ermöglichen. Diese Technik wird von allen Betriebssystem genutzt, um dem Benutzer beste Performance zu liefern. Die ist also unabhängig von Windows. Wer Details zu den Schwachstellen wissen will kann hier Details zu Spectre und Meltdown nachlesen.

Was muss ich machen

Ja, da bleibt halt mal wieder nur das zu wiederholen, was alle sagen:

  • erstmal sein eigenes Surfverhalten disziplinieren und nicht auf windigen Internetseiten rumzusuchen
  • vorsichtig sein bei Email Anhängen
  • auf kostenlosen Support, Gewinnspiel-Gewinne, Erbschaftsversprechen oder ähnliches verzichte ich z.B. auch
  • dein Surface oder auch andere PCs aktuell halten

Antivirus

Ein aktuelles Antivirusprogramm ist heute auch immer noch Pflicht. Ob man dabei auf kostenpflichtige Produkte zurückgreift oder den integrierten Virenschutz von Windows 10, den Windows Defender, verwendet, bleibt jedem selbst überlassen. Alleine darüber kann man endlose Abhandlungen schreiben. Das wichtigste dabei finde ich: Windows 10 liefert einen umfangreichen Basisschutz mit und damit sind erstmal alle gut geschützt, die keine zusätzlichen Kosten tragen wollen. Im Bezug auf Meltdown und Spectre muss man aber wissen, dass einige Antivirus-Hersteller erstmal ein Update bereitstellen mussten, damit die Patche von Microsoft überhaupt installierbar sind. Bei wem da grade das Abo ausgelaufen war oder ist … Pech. Beim Defender gibt’s das nicht. Er war auch hier von Anfang an korrekt konfiguriert, was beim integrieren Virenschutz ja auch zu erwarten ist. Der Windows Update Dienst installiert Programm und Suchmuster (Virenpattern) Updates automatisch. Über die Updates der Antiviren-Software haben wir im Artikel Microsoft Fix für Meltdown und Spectre und die Antivirus-Software berichtet. Der aktuelle Stand der Programme könnt ihr auf dieser Liste auch nachlesen. Ich war selbst überrascht, sie enthält 44 Einträge = Antivirus-Programme.

Betriebssystem

Wer sein Antivirus auf dem aktuellen Stand hat, schaut nach dem Betriebssystem selbst. Hier kommt Windows Update zum Einsatz. Hier kann man ebenfalls wieder endlos drüber schreiben. Windows Update installiert euch immer die für das Gerät und die Windows Version notwenigen Aktualisierungen. Im Normalfall werden diese heruntergeladen ohne dass ihr etwas davon merkt und irgendwann sagt das Surface Bescheid, dass es gerne neu Starten würde um die Updates zu aktivieren. Ich will hier nun nicht jeden Mechanismus im Detail beschreiben, die sind alle zusammen robust und für den Anwender so konfiguriert, dass es sich um nichts kümmern muss. Dennoch kann auch da was schiefgehen. Insofern bleibt auch hier die Kontrolle und ggf. der Eingriff bei Fehlern. Speziell bei den beiden aktuellen Bedrohungen schau ich mir meinen Updateverlauf schon öfters an. Das würde ich euch regelmäßig empfehlen auch zu tun. Macht es doch am besten mit, wenn ihr Datensicherung macht. (ups, auf dem linken Fuß erwischt ? 🙂 )

Für alle, diese es bislang noch nicht gemacht haben, empfehle ich dringend das Update auf die aktuelle Windows Version, das Fall Creators Update. Das wird auch als Windows 10 – 1709 bezeichnet und steht seit einigen Tagen nun alle Endgeräten zur Verfügung. Wenn ihr schauen wollt, ob ihr da aktuell seid: einmal die Windows-Taste drücken und im Suchfeld „winver“ eingeben.  Der Build 16299.xxx ist das aktuelle Fall Creators update. Wer drunter ist: Update machen. Wer drüber ist, ist im Windows Insider-Programm.

Firmware

Das Surface hat jede Menge Bauteile drin, für die ein Treiber benötigt wird, damit sie korrekt funktionieren: Kameras, USB-Port, Type Cover, SD-Karte, WLAN, Bluetooth, UEFI. Das UEFI ist so gesehen der Nachfolger des BIOS, was zwischen Hardware und Betriebssystem sitzt. Für Spectre und Meltdown ist auch hierfür ein Update erforderlich. Praktisch für das Surface: Dieses Update macht Windows Update gleich mit, in der Regel so automatisch wie es mit Betriebssystempatchen auch geht. Problem hierbei ist, dass diese Komponenten pro Gerätereihe vom Hersteller bereitgestellt werden müssen. Was für welches Surface-Modell bereits zur Verfügung steht, seht ihr in der nachfolgenden Tabelle:

 Model Firmware über Windows Update
 Surface Pro 1
 Surface Pro 2
 Surface Pro 3  nein, nur manuell zum Download
Anmerkung: im Fast-Ring wurde das Update automatisch ausgebracht und der Test zeigt keinerlei Verwundbarkeit der CPU!
 Surface Pro 4  ja
 Surface Pro 2017
 Surface Book  ja
 Surface Book Performance Base  ja
 Surface Book 2  ja
 Surface Laptop
 Surface RT unklar ob ARM Prozessoren auch betroffen sind
 Surface 2 unklar ob ARM Prozessoren auch betroffen sind
 Surface 3
 Surface Studio ja

Ja, da klaffen noch ziemlich Lücken. Ich hab bereits über meine Kontakte nachgefragt, aber bislang auch noch keine Informationen bekommen, wann hier Updates geplant sind. Ich bekomm leider auch nur den Verweis auf die eigene Webseite, die aktualisiert wird „sobald notwendig“.

Browser

Kommen wir zum nächsten Glied in der Kette, die Browser, die Du zum surfen im Internet nutzt. Wer hätte es gedacht, diese müssen auch aktuell sein. Internet Explorer und Edge werden wieder von Windows Update aktualisiert. Wer alternative Browser nutzt, sollte unbedingt auch hier nach Updates Ausschau halten. Für den Benutzerkomfort machen diese eigentlich alle auch erstmal selbst und automatisch ihre Updates. Ob sie diese installieren, nur downloaden oder beides ungefragt oder gefragt tun, lässt sich konfigurieren. Ein guter Zeitpunkt also um nachzuschauen, wie es konfiguriert ist um evtl. bei Bedarf ein Update durchzuführen.

Fassen wir bis hier her mal zusammen: bist Du Microsoft-Treu und verwendest ein Surface mit Windows 10, dem Defender und nutzt Edge macht Windows Update alles für Dich. Weichst Du ab, musst Du selber aktiv werden!

Prüfen

Jetzt wollen wir noch prüfen, gegen welche der beiden Angriffe das Surface aktuell geschützt ist. Hierzu greife ich auf die Tipps und Programmempfehlungen von MVP-Kollege Günter Born zurück. Er hat auf seinem Blog in den vergangenen Tagen ein ganze Reihe von Post zum Thema veröffentlicht. Wer detailliert einsteigen möchte, geht am besten auf Borns IT- und Windows-Blog oder direkt in einen der Artikel, z.B. über Beitrag „Ist mein Browser durch Spectre angreifbar?“

Für den Test der Firmware empfiehlt Günter Born den Checker von Ashampoo, der auf dieser Seite oben rechts heruntergeladen werden kann. Nach dem Programmstart erhaltet ihr dann auch ein Ergebnis, was je nach Schutzstatus wie auf den nachstehenden Bildern aussieht:

Den Browsercheck auf der Seite http://xlab.tencent.com/special/spectre/spectre_check.html gibt dann noch Aufschluss über die Verwundbarkeit des Browsers. Über die Schaltfläche „Click to check“ startet die Prüfung, die nach wenigen Sekunden hoffentlich das Ergebnis auswirft:

Zusammengefasst

Für einen Surface-Benutzer gilt also

  1. Antivirusprogramm aktualisieren: Über das Produkt oder Windows Update
  2. Firmware aktualisieren über Windows Update
  3. Windows 10 aktualisieren über Windows Update
  4. Browser aktualisieren: Über das Produkt oder Windows Update
  5. Prüfen UEFI über das Tool von Ashampoo
  6. Browsercheck über Webseite

Und wenn irgendwas nicht oder noch nicht passt, wieder von vorne anfangen. Der Punkt 2. ist derzeit bei den Surface Geräten auch noch der Knackpunkt (vgl. Tabelle weiter oben).  Hier bleibt uns nur übrig zu warten, bis Microsoft entsprechende Updates bereitstellt.

Ich hoffe die Zusammenstellung bringt euch weiter. Nutzt bitte auch die Links, wenn ihr tiefer einsteigen wollt.

 

 

Über den Autor: Ralf Eiberger

Ralf Eiberger
Schon 2012 als das erste Surface noch nicht angekündigt war und man spekulierte, dass Microsoft ein Tablet bauen würde, hatte ich es bereits in der Hand. Seither lässt mich das Thema Surface nicht mehr los. Seit 2013 bin ich MVP für Surface, inzwischen in der Kategorie Windows and Devices.