Microarchitectural Data Sampling (MDS): Aktueller Patch-Status

Nachdem Sicherheitsforscher Details zu neuen Lücken in Intel-Prozessoren veröffentlicht haben, sollten entsprechende Rechner aktualisiert werden. Die Details zu den mit Microarchitectural Data Sampling (MDS) bezeichneten Angriffsszenarien hatten die Forscher bereits vor einem Jahr an die Prozessor- und Betriebssystemhersteller übermittelt. Diese hatten also genügend Zeit, entsprechende Patches zu entwickeln.

Insgesamt sind vier MDS-Angriffe bekannt, wobei Zombieload als der gefährlichste von allen gilt:

• CVE-2018-12126 – Microarchitectural Store Buffer Data Sampling (MSBDS)[Codename Fallout]. 
• CVE-2018-12127 – Mikroarchitektonische Lastportdatenerfassung (MLPDS)
• CVE-2018-12130 – Microarchitectural Fill Buffer Data Sampling (MFBDS)[Codename Zombieload, oder RIDL] 
• CVE-2019-11091 – Microarchitectural Data Sampling Uncacheable Memory (MDSUM)

Sofern Patches noch nicht verfügbar sind, empfiehlt Intel die Deaktivierung von Simultaneous Multi-Threading (SMT), auch bekannt als Hyper-Threading. Dadurch sinkt allerdings die Performance des Intel-Prozessors erheblich.

Intel

Intel teilt mit, dass es aktualisierte Mikrocode-Updates für PC- und Motherboard-Hersteller veröffentlicht hat. Allerdings ist unklar, welche Mainboards und PCs in den Genuss neuer BIOS-Updates gelangen.

Außerdem hat Intel eine Liste der betroffenen Prozessoren veröffentlicht (PDF), die detaillierte Informationen über den Status der verfügbaren Mikrocode-Updates für jedes CPU-Modell enthält.

Microsoft

In einem Sicherheitshinweis beschreibt Microsoft, wie es mit Updates für seine Betriebssysteme vor den Gefahren der vier MDS-Schwachstellen schützt. Demnach stehen entsprechende Aktualisierungen für Windows und Windows Server, aber auch für SQL Server zur Verfügung.

Azure-Clients sind bereits geschützt, da Microsoft bereits Maßnahmen ergriffen hat, um seine Cloud-Infrastruktur zu patchen und die Bedrohung zu minimieren.

Apple

Mit der Bereitstellung von macOS Mojave 10.14.5 reagiert Apple auf die neuen Lücken in Intel-Prozessoren. „Dieses Update verhindert die Ausnutzung dieser Schwachstellen über JavaScript oder durch die Navigation zu einer bösartigen Website in Safari“, schreibt Apple. Der Fix hat keine „messbaren Auswirkungen auf die Leistung“, fügte das Unternehmen hinzu. iOS-Geräte verwenden CPUs, die nicht anfällig für MDS sind.

Linux

Redhat und Ubuntu haben bereits Patches ausgeliefert, sodass ein Großteil der Linux-Distributionen vor den Schwachstellen geschützt ist. Das gilt beispielsweise auch für die auf Ubuntu basierende und sehr beliebte Linux-Distribution Mint.

Google

Google hat eine Hilfeseite veröffentlicht, die den Status jedes Produkts auflistet und aufzeigt, wie es von den MDS-Angriffen betroffen ist.

Für seine Cloud-Infrastruktur sind bereits alle erforderlichen Schutzmaßnahmen umgesetzt.

Ab Chrome OS 74 hat Google Hyper-Threading deaktiviert. Dies schützt vor MDS-Angriffen, sagte Google.

Wie bei iOS-Geräten sind auch die allermeisten Android-Smartphones oder Tablets von den Schwachstellen nicht betroffen, da in diesen kein Intel, sondern eine ARM-CPU zum Einsatz kommt. Nutzern eines Android-Smartphone mit einem Intel-Prozessor empfiehlt Google den Hersteller zu kontaktieren.

Amazon

Wie Google und Microsoft teilt Amazon mit, dass es bereits Patches für seine Cloud-Server eingspielt hat. Als allgemeine Best Practice im Bereich der Sicherheit empfiehlt Amazon seinen Kunden, ihre Betriebssysteme oder Software zu patchen, sobald relevante Patches verfügbar sind. Die fraglichen MDS-Patches stehen in aktualisierten Kernel und Mikrocode-Paketen für Amazon Linux AMI 2018.03 und Amazon Linux 2 in den jeweiligen Repositories (ALAS-2019-1205) zur Verfügung.

AMD

Prozessoren von AMD sind von den MDS-Schwachstellen nicht betroffen.