Die Aussichten für Cyberkriminelle sind so gut wie selten. Das neue Jahr brachte die Sicherheitslücken Meltdown und Spectre, die über Jahre hinaus auf die ein oder andere Weise ausgenutzt werden können. Milliarden von betroffenen Rechnern weltweit werden genügend nicht gepatchte Betriebssysteme bieten, um reiche Beute zu machen. Auch wenn die Ausnutzung der Lücken bei Institutionen und Unternehmen mehr Beute versprechen als auf privaten Rechnern, sind auch diese potentiell gefährdet.
Malware für Meltdown und Spectre
Somit verwundert die Nachricht auf ZDNet nicht, dass immer mehr Malware auftaucht und getestet wird, die diese Lücken ausnutzen soll. Meltdown ist mit Kernel 4.15 und den KPTI-Patches mittlerweile geschlossen, Spectre v2 ist durch Retpoline abgeschwächt, Spectre v1 weiterhin offen wie ein Scheunentor und wird erst – in welchem Umfang ist noch unbekannt – mit Linux 4.16 gestopft. Spectre gänzlich zu stopfen wird aber erst mit Änderungen am Silizium gelingen.
Ständig steigend
Das unabhängige AV-TEST-Institut in Magdeburg hat bis gestern bereits 139 Samples von Malware aufgelistet, die auf die beiden Lücken angesetzt werden sollen. Wie einem Diagramm zu entnehmen ist, steigt die Zahl seit dem 7. Januar stetig an. Die SHA256-Hashes sind auf G+ aufgelistet. Einige Anti-Viren-Engines erkennen einige davon bereits als Schadsoftware.
Exploits im Test
SecurityWeek beruft sich auf Aussagen von AV-TEST, ein auf JavaScript basierender Proof-of-Concept-Exploit (PoC) für die Spectre-Lücke sei bereits verfügbar. Dieser Exploit soll mit Firefox, Chrome und Internet Explorer funktionieren. Die gesammelten Samples sind auf Linux, macOS und Windows ausgelegt. Bisher werde von verschiedenen Seiten lediglich getestet, ein direkter Angriff ist derzeit noch nicht bekannt. Diese werden aber sowohl zielgerichtet als auch weit gestreut für die nächste Zeit erwartet. Andreas Marx, der CEO von AV-TEST rät Anwendern, ihre Geräte auszuschalten wenn sie länger als eine Stunde nicht benutzt werden. Befindet sich der Rechner im Leerlauf, so sollte zumindest der Browser geschlossen werden, um den Angriffsvektor zu verkleinern.
Schreibe einen Kommentar