Meltdown und Spectre Update

bitminder Einschätzung zur aktuellen Situation

Bestimmte Prozessoren verschiedener Hersteller sind momentan von gravierenden Sicherheitslücken betroffen. Die als „Meltdown“ und „Spectre“ bekannt gewordenen Exploits erlauben möglichen Angreifern, Passwörter oder privat Schlüssel auszulesen und somit die Sicherheit ihrer IT Infrastruktur zu gefährden.

Es wurden bereits erste Patches von verschiedenen Herstellern zur Verfügung gestellt bzw. angekündigt. Die bitminder System Spezialisten verarbeiten und testen die bis dato bekannten Lösungsvorschläge intensiv und werden die notwendigen Updates bei den Kunden mit den entsprechenden Serviceverträgen zeitnah einspielen.

Was wir soweit wissen:

• Es kann Probleme (Bluescreen) bei AMD CPUs geben  – hier bitte NICHT patchen
• Bei älteren CPUs (z. B. vor der i-6000 er Generation) und bei Systemen die eine hohe CPU Auslastung haben,
  wird im Netz von Performance-Einbußen bis zu 30% gesprochen. Auf diesen Systemen sollte man das Risiko gegen den Nutzen abwägen.
• Bei aktuellen Intel CPUs mit SSD HDs werden Leistungsverluste von ca. 10% gemeldet. Referenzen findet man dazu u.a. bei Heise:
  – IntelBenchmarks zu Meltdown/Spectre Performance sackt um bis zu 10 Prozent ab, SSD-I/O deutlich mehr
  – Microsoft über Meltdown/Spectre: Details zu Patches und Leistungseinbußen
  – Meltdown und Spectre: Die Sicherheitshinweise und Updates von Hardware- und Software-Herstellern
• Antiviren Programme können NICHT vor den Angriffen schützen
• Besonders gefährdet sind Systeme, die nicht vertrauenswürdigen Code (z. B. beim Zugriff auf Webseiten) über beliebige Browser herunterladen, also in der Regel alle Windows Clients, an denen Anwender arbeiten.
• Nicht nur das Betriebssystem, sondern auch Anwendungen wie der Internetbrowser usw. müssen gepatcht werden.

Wir empfehlen unseren Kunden das Ausrollen der verfügbaren Patches für:

• Intel CPUs
  – Clients die nicht vertrauenswürdigen Code herunterladen und ausführen
  – Server die nicht vertrauenswürdigen Code herunterladen und ausführen (Terminal-, Citrix- und andere Server mit Internetzugriff)
• AMD CPUs
  – Server die nicht vertrauenswürdigen Code herunterladen, ausführen und sicherheitstechnisch als gefährdet einzustufen sind. In diesem Fall muss der Rollout der Patches sorgfältig geplant werden und unbedingt eine Rollback Strategie vorhanden sein.

Folgende Systeme empfehlen wir momentan noch NICHT zu patchen:

• Intel CPUs
  – Server die keinen nicht vertrauenswürdigen Code herunterladen und ausführen.
  – Server die eine Leistungseinbuße von 30% NICHT verkraften können.
• AMD CPUs
  – Server die keinen nicht vertrauenswürdigen Code herunterladen, ausführen und sicherheitstechnisch NICHT gefährdet einzustufen sind.
  – Server die eine Leistungseinbuße von 30% NICHT verkraften können.

Das bitminder Team rät generell eine sorgfältige Planung  und Vorbereitung für den Rollout der Patches. Zudem sollten Sie unbedingt eine Rollback Strategie haben, falls es zu unerwarteten Störungen und/oder Problemen kommen sollte.