Microcode-Update unter Windows ohne BIOS-Mods.
Aktuelle PC und Internetsicherheit (2017-....)
-
-
Die c't hat im aktuellen Podcast mal ein bisschen Zusammenfassung betrieben.
https://www.heise.de/video/artikel/…re-3946914.htmlBis auf den Punkt, dass es Microcode-Update unter Windows nur via BIOS gibt, hört sich das alles gut an. Hier finde ich die VMware-Lösung schicker und kompatibler.
Oder ich hab das auf der Autofahrt verpeilt, so vergebt mir, wenn ich das falsch sage
Aber wir haben die üblichen 14 Tage nach Veröffentlichung überschritten und von der anfänglichen Empörie ist nichts mehr übrig. Mensch...jetzt, wo viele Benchmarks raus sind. Jetzt, wo wir wissen, dass ältere CPUs mehr leiden. Jetzt, wo die Leute, die zweite Welle Patches installieren werden. Jetzt, wo wir mal richtig Fakten und fundierte Daten haben, ist das Thema uninteressant geworden. q.e.e.
-
In den entsprechenden Kreisen (System Engineers, Administratoren, Softwareentwickler) ist das definitiv nicht der Fall. Daß die breite Masse nicht ewig dran interessiert bleiben wird war klar, aber das wäre selbst bei der Entdeckung von komplexem außerirdischen Leben kaum anders, also darf das nicht verwundern. Ist auch nicht die Aufgabe jedes Gärtners, in Sachen Systemsicherheit auf dem Laufenden zu sein.
Wobei, ich werde von Laien nach wie vor mit Fragen zu dem Thema konfrontiert, also ist es auch noch nicht aus allen Köpfen verschwunden.
Nebenbei: Jetzt weiß ich wenigstens, warum mein Snapdragon 625 Octacore im Handy eigentlich wirklich eine "Midrange" CPU ist, und wo der Speed fehlt. Hauptsächlich ist das wohl der primitiven in-order Execution Pipeline geschuldet. Ich wußte gar nicht, daß es sowas im ARMv8 Sektor noch gibt. Es gibt also schon noch nicht-verwundbare, moderne Prozessoren, eben alle die keine out-of-order speculative Execution betreiben. Leider werden diese Chips halt nur im mobilen Bereich verwendet, und eben nur in den für die breite Masse weniger attraktiven Telefon- & Tabletmodellen, aber trotzdem..
-
https://www.heise.de/newsticker/mel…ck-3948447.html
Und die Microsode-Updates sind erstmal wieder zurückgezogen. Man darf also auf den nächsten (dritten?) Rutsch warten.
-
Ich bin ja vor allem gespannt, wie weit zurück Intel die µCodes liefern wird. Bis Skylake ok, aber ich mein, da laufen auch noch genug User mit Ivy/Sandy oder eben auch Westmere rum, einfach weil die CPUs für das meiste ausreichend sind. Eine Lösung zum Einpflegen der korrekten Intel µCode Files für Linux in AMI BIOS Images habe ich mir bereits [zurechtgelegt] (auch für Nutzer, die rein unter Windows sitzen).
Eigentlich müßtens da von Skylake noch ein wenig weiter zurückgehen, und optimalerweise auch anstoßen, daß Microsoft die µCodes (wenn sie Mal fertig sind) über's Windows Update an Win7/8/10 ausrollen. Alternativ sollte Intel dafür einen Installer für Windows Nutzer bauen und auf die Webseite setzen, falls MS sich dagegen sträuben sollte, das ganze Mal bei einem Patch Tuesday auszurollen.
-
Ich habe mich noch nicht so tief in die Materie eingearbeitet, daher kann mir hier jemand vielleicht ne kurze Antwort geben.
Internet -> Firewall (mit anfälliger CPU) -> Lokales Netz
Kann das aus dem Internet (Meltdown/Spectre) angegriffen werden?
-
Bedingt. Du musst Code auf dem Rechner ausführen können. Remote ist das schonmal nicht.
Das kann im Zweifelsfall aber auch JavaScript-Code im Browser sein. Da gibt es wohl die ersten Versuche, das über JavaScript gangbar zu machen. -
Ok danke für die Info.
Also die derzeitigen "Angriffswege" wären demnach Emailanhang / Browsercode (böse Webseite o.ä.).
Was für Angriffswege seht ihr noch? -
Alles was irgendwie auf einem PC installiert wird / werden kann. Z.b. Treiber, Software, Tools, Virenscanner, Office Dokumente, Browser HTML6, Updates.
Weiterhin alte CPUs Core 2 und drunter.
-
Alles was irgendwie auf einem PC installiert wird / werden kann. Z.b. Treiber, Software, Tools, Virenscanner, Office Dokumente, Browser HTML6, Updates.
Weiterhin alte CPUs Core 2 und drunter.
Jagut, aber da wird halt der Mensch erstmal noch selbst tätig (wie beim Emailanhang öffnen).
-
Aktuell sind die Angriffe noch eher ein Proof of Concept. Ja, es ist möglich den Speicher auszulesen. Da gezielt Dinge abgreifen, das wird jetzt erforscht, weil man ja nicht den gesamten Speicherinhalt braucht, sondern am liebsten das Passwort vom Admin sucht, um damit ungestört weiterarbeiten zu können. Oder man sucht gezielt die Kreditkarteninformationen. Von daher ist die aktuelle Bedrohungslage noch eher gering, sie wird aber tendentiell schlechter, je mehr Zeit die potentiellen Angreifer haben.
Das kann sich aber noch vieles ändern, v.a. weil die Forscher selbst noch nicht die gesamte Tragweite durchdrungen haben. Die Spectre-Varianten könnten nur der Anfang gewesen sein. Da kann noch viel mehr im Untergrund liegen.
D.h. jetzt sollte man schauen, was da noch so rumliegt und das am besten gleich wegpatchen. Das wird sich noch über eine längere Zeit hinziehen.
-
Also, ein Proof of Concept, das Chrome angreift und dessen Passwortcache ausliest gibt es ja schon. Damit käme man zumindest Mal an Dinge wie hinterlegte Webaccount-Passwörter, was schon ganz nett ist, weil man das eben eventuell auch per Javascript lösen könnte. Die Version die ich gesehen habe war aber noch in C oder C++ geschrieben, find's grade nicht mehr und [das hier] habe ich noch nicht getestet.
Interessant wäre auch der Fall, wo ein Virenkiller Code in einer Sandbox oder VM gekapselt ausführt und evaluiert. Das passiert ja bekanntlich automatisch, z.B. bei der Prüfung von eMail Anhängen o.ä. Ich könnte mir denken, daß Schadcode schon in dieser Phase Daten holen könnte, nur ist die Bedrohung dabei wohl eher gering, weil der gekapselte Code ja nicht in's Netz kann, und hoffentlich vom AV auch erkannt wird.
-
Achja...die Browser haben haben ja alle diese schicken Passwortmanager. Wenn man die gezielt auslesen kann, wird es i.d.R. spaßig.
Mein Gedanke sind gerade eher, dass sich mal jemand auf seiner AWS-Instanz was baut und schaut, was nebenan so läuft
-
https://www.heise.de/security/meldu…ho.beitrag.atom
https://newsroom.intel.com/wp-content/upl…te-guidance.pdf
https://newsroom.intel.com/news/security-…rmware-updates/Nach dem Rückzieher der ersten Charge gibt es jetzt neue MCUs. Erstmal nur für die aktuellen Skylakes, später aber wohl bis hin zu Core2-CPUs. Wann das sein wird. Nichts genaues weiß man nicht.
Etwas Geschmäckle oder sagen wir Dreistigkeit sind die Beta-MCUs, die Intel der Welt zum Testen zur Verfügung stellt bzw. stellen will.Warten wir mal ab, wann da die ersten MCUs abseits von Skylake kommen.
Als kleines Community-Projekt könnte man ja einen Thread erstellen, wo wir von unseren nicht mehr von Herstellern unterstützten Mainboards das jeweils aktuelle BIOS mit den neuen MCUs versehen und geordnet zum Download anbieten.
Das wird ja aber noch Zeit haben bis selbst die Core2-CPUs gefixt sind. -
Als kleines Community-Projekt könnte man ja einen Thread erstellen, wo wir von unseren nicht mehr von Herstellern unterstützten Mainboards das jeweils aktuelle BIOS mit den neuen MCUs versehen und geordnet zum Download anbieten.
Das wird ja aber noch Zeit haben bis selbst die Core2-CPUs gefixt sind.Die Idee finde ich gut und ich würde mich in jedem Fall beteiligen. Man darf gespannt sein wann und wie die Mainboardhersteller hier liefern.
-
BIOS-Updates mit den aktuellen MCUs wird es wohl nur für die aktuell unterstützten Mainboards von den Herstellern geben. Also mein Mainboard hat seit 3 oder 4 Jahren kein Update mehr erfahren.
-
Ich würd's da aber auch toll finden, wenn "wir" (also alle Kunden) mal versuchen ein wenig Druck auf die Hersteller auszuüben. Wenn schon Intel die Patches bereitstellt, wäre es ein leichtes für die Hersteller, die auch in BIOS-Updates zu verpacken...
-
BIOS-Updates mit den aktuellen MCUs wird es wohl nur für die aktuell unterstützten Mainboards von den Herstellern geben. Also mein Mainboard hat seit 3 oder 4 Jahren kein Update mehr erfahren.
D.h.? "Aktuell" nur die, die sich aktiv im Verkauf befinden? Wäre, pardon, scheisse.
Logisch das nicht jedes Board Unterstützung erfahren kann, aber es wäre schön wenn zumindest noch immer weit verbreitete Boards/ Chipsätze Support erhalten würden.
LoB:
Habe ich schon getan, die Antwort steht noch aus. -
Ich bezweifle, dass die Hersteller die Boards, die EoL sind noch einmal mit BIOS-Updates versorgen.
Vielleicht spendieren die Asus' und Gigabytes dieser Welt ja eine extra Runde Updates für nicht so alte Mainboards, aber ich glaube nicht, dass die großflächig Updates ausrollen werden. Das betrifft ja nicht nur ein paar Mainboards, sondern stumpf alle.Aber vielleicht ist Meltdown/Spectre ja groß genug...ich würde aber dagegen wetten.
-
Ich auch eher. Bei BIOS-basierten Mainboards ist es aber zum Glück recht großflächig möglich, das selbst zu erledigen (bei UEFI kenne ich mich nicht hinreichend aus). Grade wenn man ein AMI BIOS hat, geht das ja wirklich sehr einfach. Da wäre es kein Thema das auf Anfrage Board für Board zu erledigen.
