Wie wir vor ein paar Tagen bereits geschrieben haben, haben wir unsere Windows PC näher bzgl. dem Meltdown und Spectre Sicherheitsproblem untersucht. Die Sicherheitsprüfung, die Microsoft uns Anwendern als PowerShell Skript zur Verfügung stellt, zeigt die erforderlichen Maßnahmen genau an, um die aktuellen Sicherheitslücken zu schließen. Wie Ihr dieses Script genau anwendet, haben wir Euch in dem Beitrag „PC auf Meltdown und Spectre Sicherheitslücken überprüfen“ genau erklärt.
Daraufhin haben wir einen PC, der ein aktuelles Windows 10 Version 1709 Fall Creators Update mit dem aktuellsten kumulativen Update KB4056892 vom Januar 2018 enthält (Build 16299.192), erneut mit dem Microsoft PowerShell Skript überprüft. Dort waren aber weiterhin besonders die meisten Bereiche als „ROT“ markiert, sodass weitere Maßnahmen erforderlich sind, um die Meltdown und Spectre Sicherheitslücken endgültig zu stopfen.
Da ist sich bei dem PC um einen Dell Optiplex 9020 handelt, haben wir bei Dell auf der Homepage nach einer BIOS Aktualisierung geschaut. Dell hat bereits im Januar 2018 auf dies Sicherheitsproblem reagiert und stellt quasi für alle verfügbaren Endgeräte BIOS Updates zur Verfügung, die den Microcode so anpassen, dass Meltdown und Spectre keine Chance mehr haben sollen.
Daraufhin haben wir uns die Bios Version A21 für den Optiplex 9020 heruntergeladen und installiert.
Bei der Bios Aktualisierung ist uns bereits aufgefallen, dass dieser Vorgang doch wesentlich länger dauerte, als bei allen Bios Aktualisierungen vorher. Auch wurde der PC während des eigentlichen BIOS Aktualisierungsvorgangs mehrmals neu gestartet. Nach gut 5 Minuten war dann das BIOS auf die Version A21 aktualisiert und Windows 10 hochgefahren. Anschließend haben wir den Microsoft Meltdown/Spectre Test erneut durchgeführt und hierbei wurde dann folgendes festgestellt.
Folgendes wird nun als positiv gepatched eingestuft:
Speculation control settings for CVE-2017-5715 [branch target injection]
For more information about the output below, please refer to https://support.microsoft.com/en-in/help/4074629
Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: True
Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID performance optimization is enabled: True [not required for security]
Erst nach der BIOS Erneuerung wurden alle zuvor festgestellten Fehler als OK bewertet. Somit steht fest, dass der Meltdown und Spectre Schutz erst dann vollständig ist, wenn Ihr auch ein aktualisiertes BIOS Update installiert habt. Am besten Ihr informiert Euch direkt beim Hersteller Eurer Hardware nach einer möglichen neuen Bios Version und installiert diese umgehend.
Bei Netzwerken, die mehrere hundert oder tausende PC´s haben, ist dies natürlich mehr als nervig. Auf jeden Fall haben die IT-Abteilungen damit noch einige Zeit gut zu tun, bis sie vollends gegen Meltdown und Spectre geschützt sind.
Anmerkung vom 23.01.2018: Intel hat vor der Installation der BIOS Updates gewarnt, da es scheinbar durch die neuen Microcode bei einigen Systemen zu unvorhersehbaren Neustart´s kommen kann. Intel ist bereits dabei den Fehler in den Microcodes zu beseitigen. Somit sollte gewartet werden, bis Intel die bestehenden Probleme gepatcht hat. Wir informieren Euch, sobald weitere Informationen vorliegen.
In diesem folgenden Artikeln findet Ihr noch weitere Informationen zum Thema „Security„.
– Verschlüsselte Ransomware Dateien mit einem Tool wieder entschlüsseln
– ZIP, RAR oder CAB Files mit Windows Defender durchsuchen– TrendMicro OfficeScan Upgrade auf Version 11.0.6496 SP1 für das Fall Creators Update
– UAC bei Windows 10 ausschalten bzw. deaktivieren
– Internetaktivitäten des Windows PC´s protokollieren
Kleiner Hinweis: Ihr solltet diesen Artikel entfernen, DELL hat das A21 BIOS Update wegen Fehlern zurückgerufen. Siehe auch https://www.heise.de/newsticker/meldung/Meltdown-und-Spectre-Intel-zieht-Microcode-Updates-fuer-Prozessoren-zurueck-3948447.html