zurück zum Artikel

Prozessorlücke Spectre: Exploit für Windows & Linux öffentlich verfügbar

Olivia von Westernhagen
Spectre

Screenshot / Wikimedia Commons/CC0 1.0 (Collage)

Funktionierende Spectre-Exploits (V1, CVE-2017-5753) aus einer kommerziellen Pentesting-Software wurden geleakt, aktive Angriffe bislang aber nicht beobachtet.

Anfang 2018 waren die Sicherheitslücken Spectre und Meltdown in aller Munde: Forscher hatten Angriffsmöglichkeiten auf moderne Prozessoren zahlreicher Hersteller entdeckt, die das unbefugte Auslesen von Speicher ermöglichten. Zu den ursprünglichen Angriffen gesellten sich später unzählige weitere Varianten. Gemeinsam hatten sie, dass sie durchweg von Forschern entwickelt und beschrieben wurden – Angriffe in freier Wildbahn auf die sehr komplexen Lücken blieben trotz öffentlich verfügbarem Proof-of-Concept-Code bislang aus.

Nun gibt es Meldungen, laut denen der ersten voll funktionsfähige ("fully weaponized") Spectre-Exploit in freier Wildbahn gesichtet wurde. Was auf den ersten Blick dramatisch klingt, ist es auf den zweiten aber wohl weniger. Der in zwei Varianten für Windows und Linux vorliegende Exploit zielt auf SpectreV1 (CVE-2017-5753), also eine der ersten beiden Spectre-Varianten überhaupt. Die allermeisten Systeme, bei denen Spectre-V1-Angriffe überhaupt relevant sind (vor allem Cloud-Server), dürften mittlerweile gepatcht sein. Und wirklich "neu" ist der Exploit auch nicht.

Die ausführbaren Dateien für Windows- und Linux-Systeme mit den Namen winleak_spectre.exe und spectre waren bereits Anfang Februar von einem Unbekannten auf die Malware-Analyseplattform VirusTotal (VT) hochgeladen worden, wo sie zunächst dem Sicherheitsforscher Julien Voisin auffielen. Später stellte sich heraus, dass die beiden Dateien als Bestandteil eines größeren "Pakets" übermittelt worden waren, das die Penetration Testing-Software Canvas (Version 7.26 von September 2020) von Immunity Inc. umfasste. Der Funktionsumfang dieser Software schließt seit Mai 2018 einen von Immunity selbst entwickelten Spectre-V1-Exploit ein.

Dass es sich bei den beiden Dateien auf VirusTotal um ebendiesen Exploit handelt, hat das Unternehmen bislang nicht offiziell bestätigt. Eine entsprechende Anspielung des Immunity-Gründers und ehemaligen CEO Dave Aitel bei Twitter deutet allerdings (wie auch der VT-Upload im Bundle) stark darauf hin: Aitel kommentiert in einem aktuellen Tweet ein Video von 2018 [1], das das damals neu erschienene Spectre-Modul von Canvas vorstellt. Seine Bemerkung dazu: "Just some random video that MAY or MAY NOT be interesting to you! :)".

Das Video erläutert, wie man mit dem Exploit auf verwundbaren Systemen Tickets des Authentifizierungsdiensts Kerberos leaken und auf diese Weise Anmeldemechanismen austricksen kann. In einem zweiten Video zu einer neueren Canvas-Version [2] wird die Möglichkeit des Speicher-Auslesens via Spectre genutzt, um an Admin-Credentials eines Windows-Systems zu gelangen. Unter Linux wiederum ist es (wiederum nur bei Spectre V1-Anfälligkeit) offenbar möglich, den Inhalt von "etc/shadow" und anderen Dateien aus dem Kernel-Speicher auszulesen. Das bestätigt Julien Voisin in einer kurzen Analyse der Linux-Variante des Exploits [3] – und auch Immunity Inc. hat dies als Funktion des Moduls in einer Veröffentlichung von 2018 dokumentiert [4].

Der Download von Dateien von VirusTotal erfordert einen kostenpflichtigen Account bei dem Service. Allerdings müssten Kriminelle, die die geleakten Canvas-Module verwenden wollen, diesen Umweg wohl gar nicht gehen: Einem Bericht von The Record zufolge ist die komplette Software in Version 7.26 gecrackt und in Untergrundforen zum Gratis-Download bereitgestellt [5] worden. Über private Telegram-Kanäle soll sie gar schon mindestens seit Oktober 2020 von Cybergangstern in Umlauf gebracht worden sein.

Bislang gibt es allerdings keinerlei Hinweise darauf, dass die Canvas-Module seit ihrem Leak für Angriffe in freier Wildbahn ausgenutzt wurden. Das dürfte zum einen schlicht an fehlenden, da bereits abgesicherten Angriffszielen liegen. Aber auch ohne dieses Hindernis ist Spectre V1 (in der National Vulnerability Database mit "Medium" eingestuft) [6] gar nicht so einfach ausnutzbar: Lokaler Systemzugriff mit niedrigen Zugriffsrechten ist Voraussetzung, um überhaupt einen Angriff zu starten.

Die Spectre-Module seien langsam, heißt zumindest in Immunitys älteren Videos und der Dokumentation. Ihre Erkennung durch diverse Sicherheitssoftware dürfte sich durch den VT-Upload konstant verbessern. Und dann ist da auch noch die Tatsache, dass eben kein Programmcode, sondern fertig kompilierte Dateien geleakt wurden, deren Einbaubarkeit in bestehende Angriffsstrategien entsprechenden Einschränkungen unterliegen. Somit scheint die Gefahr einer plötzlichen Spectre-Angriffswelle eher gering.

(ovw [8])


URL dieses Artikels:
https://www.heise.de/-5069159

Links in diesem Artikel:
[1] https://twitter.com/daveaitel/status/1366419538254958598
[2] https://vimeo.com/319506545
[3] https://dustri.org/b/spectre-exploits-in-the-wild.html
[4] https://www.immunityinc.com/downloads/Kernel-Memory-Disclosure-and-Canvas_Part_1.pdf
[5] https://therecord.media/first-fully-weaponized-spectre-exploit-discovered-online/
[6] https://nvd.nist.gov/vuln/detail/CVE-2017-5753
[7] https://www.heise.de/thema/Meltdown-und-Spectre
[8] mailto:ovw@heise.de