Spectre und Meltdown sind zwei Sicherheitslücken, welche es in sich haben. Denn über diese ist es Angreifern möglich Daten direkt aus dem Speicher des Chipsatz vom Rechners zu ziehen. Hier wird eine Funktion missbraucht über welche der Chipsatz selbst Daten cached um diese danach schneller verarbeiten zu können. Genau diese Daten können abgegriffen und weiter verwendet werden. Dieses Sicherheitsproblem ist den Herstellern schon seit Q4 2017 bekannt und es wurde im Hintergrund schon daran gearbeitet. Leider ist diese Sicherheitsproblem schon vor dem offiziellen Bekanntgabetermin „public“ geworden und so mussten viele Anbieter relativ spontan ihre Patche auf den Markt geben.
Doch leider ist mit Softwareupdates das Problem im Normalfall nicht komplett auszuschalten und so ist oft noch ein Update des Bios fällig. Hier sind die Hersteller leider oft nicht so fix unterwegs wie Microsoft und Co.
Doch wie stellt man eigentlich fest, ob sein eigener Windows PC noch anfällig für Spectre und Meltdown ist? Sollte man sich auf die Updates verlassen? Nein, definitiv nicht! Mir ist es selbst passiert, dass die Microsoft Updates eingespielt und das Bios auf den aktuellen Stand war und der Rechner trotzdem nicht sicher gegen die Sicherheitslücken war. Selbst ein Zurücksetzen brachte nicht den gewünschten Erfolg und erst eine richtige Neuinstallation löste das Problem. Dies war jedoch ein Einzelfall.
Mehr Infos zu diesem Thema: https://meltdownattack.com/
Von da her solltet ihr definitiv Euer System quer checken.
Und so funktioniert es:
Windows 10:
Öffnet die Powershell mit Admin-Rechten und führt folgende Befehle aus:
Install-Module SpeculationControl
$SaveExecutionPolicy = Get-ExecutionPolicy
Set-ExecutionPolicy RemoteSigned -Scope Currentuser
Import-Module SpeculationControl
Get-SpeculationControlSettings
Sind die Tests abgeschlossen – führt ihr folgenden Befehl aus:
Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser
Bei älteren Versionen kann das Modul nicht automatisch installiert werden.
Daher ist zuerst ein Download des Modules fällig.
Download und Entpacken:
https://aka.ms/SpeculationControlPS
Dann über die Powershell weiter:
$SaveExecutionPolicy = Get-ExecutionPolicy
Set-ExecutionPolicy RemoteSigned -Scope Currentuser
CD C:\Verzeichnis des Files
Import-Module .\SpeculationControl.psd1
Get-SpeculationControlSettings
…und wenn der Check abgeschlossen ist und keine weiteren Checks mehr folgen, räumen wir wieder auf:
Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser
Auswertung des Ergebnisses:
Nach der ersten Runde …ist noch alles sehr „rot“!
..und alles steht auf „False“
Doch darunter kann man schon die empfohlenen Schritte lesen:
Wir fangen von hinten an und installieren zuerst die Microsoft Updates!
* Install BIOS/firmware update provided by your device OEM that enables hardware support for the branch target injection mitigation.
* Install the latest available updates for Windows with support for speculation control mitigations.
* Follow the guidance for enabling Windows Client support for speculation control mitigations described in https://support.microsoft.com/help/4073119
Dann sieht die Sache schon etwas besser aus:
Danach suchen wir beim Hersteller die letzte Bios Version heraus, welche ein relativ aktuelles Datum (2018) besitzen sollte. Sobald dieses durch gelaufen ist, steht alles auf „grün“ und „True“.
Unser Rechner ist nun geschützt.
Den Patch für Windows 10 Maschinen könnte man sich auch direkt downloaden.
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056892
