Windows 7/Server 2008 R2: Total Meltdown-Exploit verfügbar

[English]Das hat Microsoft spitzenmäßig hingekriegt: Die Sicherheitspatches der letzten Monate reißen eine riesige Sicherheitslücke mit dem Namen Totel Meltdown in Windows 7 und Windows Server 2008 R2. Nun hat jemand einen Exploit-Code auf GitHub zum Ausnutzen dieser Sicherheitslücke veröffentlicht.  Jetzt heißt es reagieren und das System gegen Total Meltdown abdichten. Hier der Versuch, das Ganze etwas einzuordnen und zu sortieren.

Rückblick: Worum geht es bei Meltdown?

Zum Jahreswechsel 2018 wurden die Schwachstellen mit den Namen Meltdown und Spectre auf (Intel) CPUs bekannt. Über diese Schwachstellen lässt sich von nicht privilegierten (Anwendungs-)Prozessen auf Informationen im Speicher zugreifen. Ich hatte über das Thema hier im Blog berichtet (siehe Linkliste am Artikelende).

Meltdown/Spectre

Die Softwarehersteller versuchten hektisch die Schwachstellen mit Updates abzudichten. Auch Microsoft schob im Januar 2018 und in den Folgemonaten einige Updates zum Abschwächen der Meltdown-Lücken auf seine Windows-Maschinen. Woody Leonhard hat auf askwoody.com eine Liste der fraglichen Sicherheitsupdates zusammen gestellt.

  • KB 4056894 Win7/Server 2008 R2 January Monthly Rollup.
  • KB 4056897 Win7/Server 2008 R2 January Security-only patch.
  • KB 4073578 Hotfix for “Unbootable state for AMD devices in Windows 7 SP1. and Windows Server 2008 R2 SP1” bug installed in the January Monthly Rollup and Security-only patches.
  • KB 4057400 Win7/Server 2008 R2 Preview of the February Monthly Rollup.
  • KB 4074598 Win7/Server 2008 R2 February Monthly Rollup.
  • KB 4074587 Win7/Server 2008 R2 February Security-only patch.
  • KB 4075211 Win7/Server 2008 R2 Preview of the March Monthly Rollup.
  • KB 4091290 Hotfix for “smart card based operations fail with error with SCARD_E_NO_SERVICE” bug installed in the February Monthly Rollup.
  • KB 4088875 Win7/Server 2008 R2 March Monthly Rollup.
  • KB 4088878 Win7/Server 2008 R2 March Security-only patch.
  • KB 4088881 Win7/Server 2008 R2 Preview of April Monthly Rollup.

Das Problem: Mit den Sicherheitsupdates wird eine weitere Sicherheitslücke mit dem Namen Total Meltdown aufgerissen.

Was ist Total Meltdown?

Ich hatte Ende März 2018 im Blog-Beitrag Windows 7: Januar-/Februar 2018-Patches reißen Total Meltdown-Sicherheitslücke das Problem beschrieben. Die von Microsoft zum Schließen der Meltdown-Sicherheitslücke bereitgestellten Updates reißen unter Windows 7 und Windows Server 2008 R2 ein weiteres Sicherheitsloch mit dem Namen Total Meltdown auf.

Damit kann jeder Prozess ohne Exploits unter Windows 7 auf beliebige Speicherbereiche lesend und schreibend zugreifen. Die Ausnutzung erfordert lediglich schlichte Lesen- und Schreibenoperationen auf den bereits gemappten virtuellen Speicher. Darauf macht Ulf Frisk im Blog-Beitrag Total Meltdown aufmerksam. Auch die März 2018-Patches haben an dieser Sicherheitslücke nichts geändert, wie Ulf Frisk in seinem Blog-Beitrag nachgetragen hat.

Total Meltdown Exploit verfügbar

Jetzt hat ein Hacker und InfoSec Researcher mit dem Kürzel xpn auf Github den Code für einen Exploit der Sicherheitslücke CVE-2018-1038.c veröffentlicht. Die zugehörige Beschreibung hat xpn hier publiziert. Damit stehen eigentlich alle Informationen bereit, um Systeme mit Windows 7 und Windows Server 2008 / R2 anzugreifen. Woody Leonhard hat diese Details gerade auf askwoody.com veröffentlicht.

Was kann man tun?

Microsoft hat erstmalig am 29.3.2018 ein Sicherheits-Update nachgeschoben (siehe Windows 7/Server 2008 R2: Update KB4100480 (29.3.2018)) – ein Update, welches für eigene Probleme verantwortlich ist. Und am 10. April 2018 folgte dann ein Windows-Kernel-Update für CVE-2018-1038 für Windows 7 Service Pack 1 und Windows Server 2008 R2 Service Pack 1, mit dem Total Meltdown geschlossen wurde. Microsoft schreibt:

Dieses Update behebt eine Sicherheitsanfälligkeit bezüglich Rechteerweiterungen im Windows-Kernel der 64-Bit-Version (x64) von Windows. Diese Sicherheitsanfälligkeit ist in CVE-2018-1038 dokumentiert. Benutzer müssen dieses Update anwenden, um vor dieser Sicherheitsanfälligkeit vollständig geschützt zu sein, falls ihre Computer im Januar 2018 oder danach durch die Installation eines der folgenden Updates aktualisiert wurden.

Der KB-Artikel wurde am 17. April 2018 letztmalig aktualisiert. Also alles in Butter, es sind ja Patches vorhanden? Mitnichten, denn die Patches vom März und April bringen andere Probleme.

Update KB4093118 (beschrieben im Blog-Beitrag Patchday: Updates für Windows 7/8.1/Server April 2018) führt auf diversen Maschinen (vor allem Windows Server 2008 R2 zu einer Installationsschleife. Zudem tritt bei manchen Maschinen ein SMB-Memory-Leak auf. Ich hatte im Blog-Beitrag Problemsammlung zu Microsoft April 2018 Updates auf die diversen Probleme hingewiesen.

In den Kommentaren schrieben einige Leute, dass sie die Updates ausgeblendet hätten. Wer also Update KB4093118 ausgeblendet hat, ist voraussichtlich vor dem obigen Exploit ungeschützt.

Tipp: Im Blog-Beitrag Problemsammlung zu Microsoft April 2018 Updates hatte ich auf den Tipp von Blog-Leserin Monika verwiesen. Diese hat festgestellt, dass das Update KB4093113 (RollUp) das Problem verursacht. Sie hat dies auf den Testrechnern deinstalliert und nun taucht auch die Endlosschleife bei der Installation des Sicherheitsupdates KB4093118 nicht mehr auf.

Und in dieser Richtung dürften sich eine Menge Systeme mit Windows 7 SP1 oder Windows Server 2008 R2 SP1 auf einem nicht vollständig geschützten Patch-Stand befinden. Woody Leonhard gibt hier einige Hinweise, was Nutzer von Windows 7 SP1 und Administratoren von Windows Server 2008 R2 tun können.

  • Das Sicherheitsupdate KB4093108 (Security only update) vom 7. April 2018 manuell aus dem Microsoft Update Catalog herunterladen und auf den Maschinen installieren.
  • Oder das Sicherheitsupdate KB4093118 (Monthly Quality Update) vom 23. April 2017 installieren lassen (sofern dies klappt).

Woody Leonhard rät, vor der Installation der Updates ein Backup anzufertigen, um im Falle von Problemen das System zurücksetzen zu können. Ist die Installation der obigen Updates wegen der bekannten Bugs oder Installationsproblemen nicht möglich? Die letzte Möglichkeit schlägt MVP-Kollegin Susan Bradley hier vor: Die Maschine so weit zurückzusetzen, dass keine Januar 2018-Updates mehr installiert sind.

Auf die Installation von Update KB4100480 (siehe Windows 7/Server 2008 R2: Update KB4100480 (29.3.2018)) wird man wegen der damit einhergehenden Probleme (siehe hier und hier) in den meisten Fällen verzichten müssen.

Nur Leute, die mit Windows 8.1 oder Windows 10 bzw. den Server Pendants unterwegs sind, bleiben von diesem Schlammassel nach bisherigem Wissen verschont. Ich würde sagen: Da blickt doch keine Sau mehr durch, was Microsoft da veranstaltet. Oder wie seht ihr das? Danke an Blog-Leser Christian H. für den Hinweis auf den Artikel bei askwoody.com. Ich hoffe, jetzt nichts wichtiges übersehen zu haben.

Ähnliche Artikel:
Windows 10: Kritische Updates vom 3.1.2018
Kritische Sicherheitsupdates für Windows 7/8.1/Server (3./4.1.2018)
Weitere Updates (Internet Explorer, GDI) 3.1.2018

Sicherheits-Updates für Windows 7/8.1 (13. März 2018)
Patchday: Weitere Microsoft Updates zum 13. März 2018
Windows 7/Server 2008 R2: Update KB4100480 (29.3.2018)

Patchday: Updates für Windows 7/8.1/Server April 2018)
Problemsammlung zu Microsoft April 2018 Updates 

Patchday: Windows 10-Updates 13. März 2018
Intel Microcode-Updates Stand 11. März 2018
Intel Fixes gegen Meltdown und Spectre wegen Bugs gestoppt
Meltdown-/Spectre: Testtool-Übersicht
Meltdown und Spectre: Was Windows-Nutzer wissen müsse
Infos zu Meltdown und Spectre: Was man wissen sollte – Teil 1
Infos zu Meltdown und Spectre: Was man wissen sollte – Teil 2

Dieser Beitrag wurde unter Sicherheit, Update, Windows Server abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

24 Antworten zu Windows 7/Server 2008 R2: Total Meltdown-Exploit verfügbar

  1. Nobody sagt:

    Muss immer wieder schmunzeln über den ganzen Updatewahnsinn.
    Seit Monaten kommen mir diese Teile nicht mehr auf die Platte.

  2. riedenthied sagt:

    Also wir haben alle Security Onlys, KB4100480, IE-Updates usw. auf mehr als 900 Rechner ausgerollt. Keine Probleme, irgendwas müssen wir falsch machen. :)

    • core sagt:

      neee, du liest den blog falsch.
      => lesen, moppernd „kommentieren“, abtreten…
      wenig – keine Probleme/pos. Beiträge sind futile (zwecklos). :D

    • Günter Born sagt:

      Nun ja, das hilft den Leuten, die in einer Install-Schleife landen, herzlich wenig …

      • Info sagt:

        Zu dem Thema habe ich inzwischen doch zunehmend gemischte Gefühle.

        Willst Du dir den Tag versauen…
        Bei Born reinschauen…

        Schlägt das Betriebssystem mal wieder Wellen…
        Lass es dir von Born erhellen…

        …nächtliche Verwirrung.

        ;-)

      • Ralf Lindemann sagt:

        Positive Rückmeldungen helfen nicht denen, die Probleme haben, rücken aber das Bild zurecht: Nicht auf allen Systemen knallt es beim Updaten. Nicht hinter jeder (obskuren) Fehlermeldung und Problembeschreibung, die hier in den Kommentaren gepostet werden, lauert ein generelles Problem. Das sollte man beim Lesen im Hinterkopf haben. Dass sich der Blick hier im Blog tendenziell auf Fehler und Probleme fokussiert, liegt in der Natur der Sache: Fehlerlosigkeit hat nun mal keinen Nachrichtenwert. Insofern erspare ich mir jetzt den Hinweis, dass auf meinem privaten Win 7-Rechner die Situation exakt so ist, wie es riedenthied in seinem Kommentar beschrieben hat … ;-)

        • Günter Born sagt:

          Wohl wahr – kann ich aber nicht auch noch im Fokus behalten – so in der Art: 99% der Leute haben keine Probleme – den Rest beißen die Hunde. Ansonsten zieht sich eh jeder das aus dem Blog heraus, was am besten passt – und so ist das Angebot auch gedacht.

          • Ralf Lindemann sagt:

            Sehe ich ähnlich. – 99%-Berichte, wie schön und unproblematisch alles ist …, will ich auch keiner lesen, das ist uninteressant … – Mir hat riedenthieds Kommentar gestern gut gefallen, weil er einen ironischen Kontrapunkt zu dem doch sehr negativen Meinungsbild gesetzt hat, das in den letzten Tagen in der Blog-Kommentierung entstanden war. Teilweise war von Update-Wahnsinn die Rede, teilweise wurde der Eindruck erweckt, als sei es besser, keine Sicherheitsupdates zu installieren oder sehr, sehr lange damit zu warten. Das kann aber nicht die Alternative sein und bildet auch nicht die Realität ab. Windows 7 genießt einen recht guten Ruf, weil es offenbar in der Breite ganz gut läuft, auch mit den Updates … Und die Nutzer und Nutzerinnen, die in Probleme laufen, finden dann ja hier im Blog kompetente Hilfe, Informationen, Tipps & Ratschläge …

        • legolan sagt:

          „Positive Rückmeldungen helfen nicht denen, die Probleme haben (…)“

          sagt ja auch keiner. Also nicht so explizit. Aber die ganzen Aluhutträger, die sich hier gern sammeln, provozieren schon die ein und die andere deutlich-ironische Anmerkung. Und so ist das glaub, auch gedacht. :)

        • Dekre sagt:

          Ich will es nicht noch mal ausbauen. Aber positive Meldungen (also alles funktioniert) helfen manchmal schon und auch sehr in bestimmen Fällen. Insbesondere in diesem konkreten Fall mit den blöden MS-Sicherheitsupdates seit 2018. „Versuchskaninchen“ sind immer gut hier.

          Es liegt ja auch an der installierten Software und damit für was der PC genutzt wird.
          So auch, siehe unten in meinen Beitrag. In zwei Fällen war der Eintrag in der regedit gesetzt in 2 anderen nicht.

          Das was mich immer genervt hat, war bei Updates zu Flash-Player oder zu Java, wenn dann einige hier geschrieben haben, dass sie es nicht installiert haben und nicht nutzen. Das war ja wirklich eine tolle Hilfe. Zum Glück ist man davon abgekommen.

      • riedenthied sagt:

        Na vielleicht hilft es ja doch dem einen oder anderen: Seit Beginn der Rollups lassen wir tunlichst die Finger davon und installieren ausschließlich Security Onlys. Ich habe schon mehrfach schmunzeln (oder den Kopf schütteln) müssen, weil eigentlich fast immer die _Qualitäts_Rollups den Stress verursachen, während die Security Onlys ziemlich problemlos sind. Aber natürlich keine Regel ohne Ausnahme: März 2018 war nicht toll mit seinen Netzwerkproblemen auf geklonten VMware-Maschinen. Dank der hiesigen Hinweise konnte ich rechtzeitig gegensteuern und die Registry unserer VMs durchputzen. Das war dann schon erledigt, bevor KB4099950 rauskam und das März-Update wurde blitzsauber eingespielt.

        Natürlich ist das Security-Only-Modell für den Otto-Normalverbraucher ohne WSUS recht nervig in der Handhabung. In der Firma ist das aber eine super Sache.

        • der_Puritaner sagt:

          Wie viele echte Windows Insider gibt’s denn eigentlich noch 20, 200, 2000 oder 20.000, die Tagtäglich sich damit beschäftigen Windows Benutzer Freundlicher zu machen?

          Vielleicht sind „Wir“ ja mittlerweile alle zu Testern von Windows 10 geworden und wissen gar nichts davon!

          Mal schauen was Passiert wenn heute Abend 20.000 Windows Nutzer ihre Maschinen Formatieren und stattdessen Linux aufspielen.

          Wäre doch mal ein Test wert ;)

  3. hensen sagt:

    Das ‚monthly rollup‘ April-18 win7, KB4093118, wird in WU + im MS-Catalog mit geändertem Datum vom 23-4-2018 angezeigt, ursprünglich 10-4-2018.
    Inhalt ist unverändert (entpackt). Warum, ist erneut nur ein Text angepasst?

  4. Graf Zahl sagt:

    Auch ne Strategie die Leute zu Windows 10 zu bewegen.
    Obwohl der Gedanke nicht wirklich neu ist…

  5. Rainer Gras sagt:

    Hallo Herr Born,
    wir haben jetzt eine Menge gelesen, allerdings ist der wirklich verwertbare Anteil, also das was wirklich wichtig ist, nur gering.

    Wir wissen jetzt das es einen „Total Meltdown Exploit“ gibt, schön !

    1.) Wie wird dieser eingesetzt, soll heißen -> was muss Manuel passieren um an die Daten zu kommen?
    2.) Was für Daten (Passwörter, wichtige Word Dokumente, Abschuss Codes von Nuklearraketen) sind zu erwarten ?
    3.) Wie hoch ist die zu erwartende Datenmenge die anfällt um nach Was zu suchen ?

    Zu Punkt 1, wenn ich das richtig gesehen habe (Video), macht ein Hacker unter Windows 7 oder Server eine CMD auf, zieht den „Total Meltdown Exploit“ in das Fenster und kann dann Daten auslesen. Habe ich das so richtig wiedergegeben ?

    Danke und Gruß
    Rainer

  6. Bolko sagt:

    Der SMB-Memory-Leak-Bug tritt nur dann auf, wenn in der Registry der folgende Schlüssel gleich 1 gesetzt ist:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanManServer\Parameters\EnableEcp

    Bei 0 oder bei nicht vorhanden ist man vor dem SMB-Leak sicher.

    https://support.microsoft.com/gl-es/help/4093118/windows-7-update-kb4093118

    Der obige Registry-Schlüssel wird zum Beispiel auch von „McAfee VirusScan Enterprise + AntiSpyware Enterprise“ gesetzt und wird auch bei Deinstallation von McAfee nicht zurück gesetzt. Falls man also diesen Schlüssel hat, dann muss man den manuell löschen.
    https://kc.mcafee.com/corporate/index?page=content&id=KB77623
    https://support.microsoft.com/en-us/help/2817216/windows-server-2012-the-request-is-not-supported-for-smb-read-andx-req

    Ein normaler Desktop-User hat diesen Schlüssel nicht in der Registry, ist also vom SMB-Memory-Leak nicht betroffen.

  7. Christian sagt:

    Hallo zusammen

    @Hr. Born:
    Besten Dank für die super Zusammenfassung in Deutsch!
    @alle:
    „Tipp: Im Blog-Beitrag Problemsammlung zu Microsoft April 2018 Updates hatte ich auf den Tipp von Blog-Leserin Monika verwiesen. Diese hat festgestellt, dass das Update KB4093113 (RollUp) das Problem verursacht. Sie hat dies auf den Testrechnern deinstalliert und nun taucht auch die Endlosschleife bei der Installation des Sicherheitsupdates KB4093118 nicht mehr auf.“

    Kann jemand auch noch bestätigen, welcher Probleme mit dem KB4093118 hatte
    (wie ich z.B. schon 2x), dass das Booten nachher wieder geht?

    Danke im Voraus!
    Christian

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert