Dank dem Einsatz von Verhaltensanalyse ist es den Security-Experten Dor Dankner und Ran Ben Chetrit vom Endpunktschutz-Pionier SentinelOne erstmals gelungen, ein Tool zu entwickeln, das in der Lage ist, Angriffe über die Meltdown-Sicherheitslücke zu identifizieren und zu stoppen. Die meisten bisher existierenden Lösungen können lediglich aufzeigen, ob ein Gerät von Exploits bedroht ist oder nicht.
Die verheerenden Sicherheitslücken Spectre und Meltdown haben Sicherheitsverantwortlichen in Unternehmen vor eine schwierige Wahl gestellt: Entweder sie entscheiden sich für einen sofortigen Patch und riskieren dabei mögliche systemweite Probleme, oder aber sie testen die Patches zunächst auf einem oder mehreren für ihr Unternehmen typischen Systemen, setzen sich dabei aber der Gefahr von Angriffen über eben jene Sicherheitslücke aus. Zudem ist bis heute noch unklar, inwieweit die Patches überhaupt umfassenden Schutz bieten.
Viele Unternehmen haben diese Entscheidung bis heute nicht getroffen, weshalb viele Endgeräte den Hackern noch immer ausgeliefert sind. Dies gilt insbesondere für Linux-basierte Systeme, für die bisher noch überhaupt keine umfassende Schutzlösung veröffentlicht wurde.
Weil der Patching-Prozess in vielen Unternehmen noch am Laufen ist, stellt SentinelOne ab sofort ein kostenloses Tool namens Blacksmith zur Verfügung, das ein Ausnutzen der beiden Schwachstellen während dieser Zeit verhindert. Blacksmith identifiziert Spectre- bzw. Meltdown-Exploits auf allen Linux-Systemen und ermöglicht es Linux-Administratoren, Angriffe zu stoppen, bevor sie im System Fuß fassen.
So funktioniert Anti- Meltdown-Tool Blacksmith
Dabei nutzt Blacksmith die Funktion der Leistungszählung moderner Chipsätze, um Prozesse auf bösartiges Caching-Verhalten hin zu überwachen. Sowohl die Meltdown- als auch die Spectre-Schwachstellen erzeugen diese Muster während des Exploits, und Blacksmith verwendet den eingebauten Linux-Mechanismus „perf events“, um Informationen über die laufenden Prozesse zu sammeln. Für ältere Prozessoren und virtuelle Umgebungen identifiziert Blacksmith auch einen bestimmten Typ von Seitenfehlern, der auf Meltdown-Exploit-Versuche hinweist.
Da Linux sehr anfällig für derartige Angriffe ist und da es bisher keine umfassende Lösung für das schwerwiegende Problem gibt, hat sich SentinelOne bei der Entwicklung des neuen Tools vor allem auf Linux konzentriert. Darüber hinaus ist Linux das bevorzugte Betriebssystem der führenden Supercomputer und somit ein beliebtes Angriffsziel für Cyberkriminelle. Die schnelle und effektive Absicherung von Linux-Umgebungen hat für SentinelOne daher oberste Priorität.
Info: Das Tool kann hier kostenlos heruntergeladen werden. Weitere Infos im Blog inklusive Blacksmith-Demo.
#Netzpalaver #SentinelOne