Angriffe mit Meltdown/Spectre-Malware nehmen seit Januar zu

Die Sicherheitsexperten des Magdeburger AV-Test Instituts meldeten per Twitter, dass sie seit Anfang Januar 2018 139 verschiedenen Malware-Version gefunden haben, „die in einem Zusammenhang mit der kürzlich entdeckten Verwundbarkeit in Prozessoren stehen.“ Kriminelle Hacker versuchen also bereits Malware zu entwickeln, die die Meltdown/Spectre Sicherheitslücken ausnutzt. Nahezu alle aktuellen CPUs sind über diesen Fehler angreifbar.

Die gesammelten Malware-Samples werden seit Anfang Januar 2018 stetig mehr. Im Verlauf nahm das Wachstum jedoch wieder ab und die Anzahl neuer Samples pro Tag war in der letzten Januar-Woche nur noch gering. AV-Test veröffentlichte die SHA256 Hashwerte alle Samples auf Google+. Laut dem Online-Virenscanner Virus Total, der Dateien mit verschiedenen Antiviruslösungen untersucht, erkennen bereits einige Programme die eingeschickten Samples als Malware.

Unter dem Namen Meltdown/Spectre sind drei Sicherheitslücken zusammengefasst, die vom Entdecker am 3. Januar veröffentlicht wurden. Die erste Malware wurde bereits wenige Tage nach der Veröffentlichung entdeckt. Die zahlreichen betroffenen Hardware- und Softwareanbieter versuchen seitdem mit verschiedenen Patches die kritischen Sicherheitslücken zu schließen. Aufgrund der hohen Komplexität musste aber unteranderem Intel ein Microsoft-Update wieder zurückziehen. Das Update sollte die Spectre Lücke schließen, sorgte aber aufgrund von Fehlern für Abstürze auf zahlreichen Windows PCs.

Derzeit gilt das Angriffe auf die Meltdown-Schwachstelle per Software-Update verhindert werden können. Die beiden Spectre Lücken können jedoch nur durch den Hardwareanbieter direkt geschlossen werden. Intel gibt an, dass das dafür notwendige Microcode-Update inzwischen für sechs Prozessoren fertiggestellt wurde. Verbreitet werden muss es aber durch die unterschiedlichen PC und Mainboardhersteller. Bisher reagierten diese leider nur zögerlich oder gab an ältere Prozessoren wie Broadwell und Haswell nicht mehr zu aktualisieren, obwohl Intel auch für diese Hardware Patches entwickelt hat.

Lücke nur schwer angreifbar?

Apple aber auch andere Hersteller weißen daraufhin, dass die Sicherheitslücken in der Praxis nur schwer anzugreifen sind. Sicherheitsforscher haben jedoch herausgefunden, dass Angriffe auf Browser möglich sind. Die großen Anbieter haben inzwischen jedoch ihre Software gegen die Sicherheitslücken abgesichert. AV-Test erklärt, dass unter den 139 entdeckten Malware-Samples auch eine Software dabei ist, die Browser angreifen kann. Ein Großteil der Samples basiert jedoch nur auf Beispielcode, der einfach aus dem Internet kopiert wurde. Es ist daher wahrscheinlich, dass die meisten Hacker nicht die nötigen Fähigkeiten haben, um die Lücken auszunutzen.

Gegenüber ZDNet USA erklärte AV-Test-CEO Andreas Marx, dass alle 139 nur jeweils eine der drei Sicherheitslücken angreift. Eine Malware die alle drei Lücken parallel angreifen kann ist bisher nicht bekannt. Marx ist der Ansicht, dass obwohl die Samples den „problematischen Programmcode“ enthalten noch nicht bestätigt werden kann, das erfolgreiche Angreife stattgefunden haben. Er geht davon aus, dass die Entwickler der Malware noch nach den besten Angriffsvektoren suchen.