So schützen Sie RAM-Geheimnisse

Was kann aus dem Arbeitsspeicher gestohlen werden, und was hat hiberfil.sys damit zu tun?

Vor kurzem haben die Entwickler des Passwort-Managers KeePass eine Schwachstelle behoben, die das Abrufen des Master-Passworts aus dem Arbeitsspeicher (RAM) ermöglichte, wo es im Klartext gespeichert war. Ebenso lassen sich auch Fragmente anderer wichtiger Informationen, wie z. B. aktuelle Nachrichten oder Daten aus Unternehmensdatenbanken, aus dem Speicher „abgreifen“. Die Entwickler von KeePass fanden schnell eine eher unorthodoxe Lösung für das Problem, doch in den meisten anderen Anwendungen werden Passwörter nach wie vor im Klartext im RAM gespeichert, was es zu einer allgemeinen, weit verbreiteten Schwachstelle von Sicherheitssystemen macht.

Ein Angriff auf den Arbeitsspeicher klingt exotisch und komplex, doch in Wirklichkeit ist es für Cyberkriminelle ziemlich einfach, einen solchen Angriff erfolgreich durchzuführen – wenn die Administratoren keine besonderen Schutzmaßnahmen ergreifen.

So können Angreifer auf den Arbeitsspeicher zugreifen

Bereiche des Arbeitsspeichers, die von verschiedenen Anwendungen genutzt werden, sind durch das Betriebssystem und den Hypervisor weitgehend voneinander isoliert. Aus diesem Grund ist es nicht möglich, ein Fragment des Speichers zu lesen, in dem gerade eine andere Anwendung ausgeführt wird. Dennoch sind Prozesse mit Kernel-Rechten (System in Windows, root in *nix) in der Lage, dies zu tun. Und es gibt mehr als nur ein paar Möglichkeiten, die Privilegien auf das erforderliche Niveau zu heben, wobei Sicherheitslücken im Betriebssystem oder in Gerätetreibern die häufigsten sind.

Eine weitere Methode, um in den Arbeitsspeicher zu gelangen, ist ein DMA-Angriff. Diese Art von Angriff basiert auf der Tatsache, dass Hochgeschwindigkeits-Schnittstellen (USB 4.0, Thunderbolt, Firewire usw.) über direkten Speicherzugriff verfügen, um E/A-Prozesse zu beschleunigen. Ein eigens entwickeltes Gerät kann diese Funktion missbrauchen, um beliebige Bits des Speichers zu lesen. Und dies ist keine hypothetische Bedrohung; es gab bereits reale Fälle (FinFireWire).

Doch auch ohne ausgeklügelte Geräte und Sicherheitslücken ist dies durchaus machbar! Da das Betriebssystem den Inhalt des Arbeitsspeichers in Dateien schreibt, kann auf die darin enthaltenen Informationen zugegriffen werden, indem diese Dateien gelesen werden.

In Windows gibt es mehrere Arten von Dateien dieser Art:

  • Temporäre Swap-Dateien (pagefile.sys)
  • Dateien zur Speicherung des Ruhezustands (hiberfil.sys)
  • Absturz- und Debug-Speicherabbilder (memory.dmp, minidump). Diese Dateien können auch manuell erstellt werden.

Unter Linux verwenden Swap und Ruhezustand eine spezielle Festplattenpartition, die zu diesen Zwecken gemeinsam genutzt wird.

Der Zugriff auf eine dieser Dateien erfordert in der Regel physischen Zugriff auf den Computer, aber es ist nicht notwendig, die Zugangsdaten zu kennen oder den Computer überhaupt einzuschalten. Man kann die Festplatte ganz einfach ausbauen und sie auf einem anderen Computer lesen.

 

So verhindern Sie Angriffe auf den Arbeitsspeicher

Weil es viele Möglichkeiten gibt, den Arbeitsspeicher abzugreifen, müssen Sie sich auf mehreren Ebenen gleichzeitig schützen. Einige Schutzmaßnahmen sind nicht besonders benutzerfreundlich. Bevor Sie diese also anwenden, sollten Sie die Nutzungsszenarien der einzelnen Computer in Ihrem Unternehmen berücksichtigen und die Risiken abwägen.

 

Einfache Maßnahmen

Beginnen wir mit einigen relativ einfachen Maßnahmen, die in jedem Fall zu empfehlen sind:

  • Implementieren Sie das Prinzip der geringsten Privilegien. Sämtliche Benutzer sollten ohne Administratorrechte arbeiten. Auch Administratoren selbst sollten nur für Wartungsarbeiten Administratorrechte erhalten, wenn diese wirklich benötigt werden.
  • Installieren Sie Schutzsysteme auf allen physischen und virtuellen Computern. Unternehmen müssen über EDR-Systeme verfügen. Sorgen Sie dafür, dass Sicherheitsrichtlinien Mitarbeiter daran hindern, legitime, aber potenziell gefährliche Dienstprogramme auszuführen, die zur Erweiterung von Berechtigungen und zum Speicher-Dumping verwendet werden können (Sysinternals, PowerShell, überflüssige/veraltete Treiber, usw.).
  • Halten Sie das Betriebssystem und alle wichtigen Anwendungen auf dem neuesten Stand.
  • Stellen Sie sicher, dass die Computer im UEFI-Modus booten, nicht im BIOS. Aktualisieren Sie regelmäßig die UEFI-Firmware auf allen Computern.
  • Konfigurieren Sie sichere UEFI-Einstellungen. Deaktivieren Sie die Input/Output Memory Management Unit (IOMMU), um DMA-Angriffe zu verhindern. Schützen Sie das UEFI durch ein Passwort und definieren Sie die korrekte Bootreihenfolge des Betriebssystems, um das Risiko zu verringern, dass das System von externen schädlichen Medien gestartet wird und die Einstellungen in nicht sichere Einstellungen geändert werden. Die Funktionen Secure Boot und Trusted Boot verhindern außerdem die Ausführung von nicht vertrauenswürdigem Betriebssystemcode.

Kontroverse Maßnahmen

Alle in diesem Abschnitt aufgeführten Maßnahmen tragen erheblich zur Verbesserung der Systemsicherheit bei, wirken sich jedoch manchmal negativ auf die Computerleistung, die Benutzerfreundlichkeit und/oder die Fähigkeit zur Notfallwiederherstellung (Disaster Recovery) aus. Alle Maßnahmen bedürfen einer sorgfältigen Abwägung im Kontext spezifischer Rollen innerhalb des Unternehmens, wobei die Umsetzung eine präzise und schrittweise Einführung mit umfassenden Tests erfordert.

  • Das TPM 2.0-basierte Hardware-Schlüsselspeichersystem Trusted Platform Module bietet eine sichere Betriebssystemauthentifizierung, nutzt biometrische Daten für die Kontoanmeldung und erschwert die Schlüsselextraktion. Das TPM verstärkt außerdem den von der Festplattenverschlüsselung gebotenen Schutz, da die Schlüssel ebenfalls auf dem Modul gespeichert sind. Mögliche Nachteile: einige Computer verfügen nicht über ein TPM; inkompatible Betriebssystem/Hardware-Kombinationen; Schwierigkeiten bei der zentralen Schlüsselverwaltung (aufgrund unterschiedlicher Systeme und TPM-Versionen).
  • Vollständige Festplattenverschlüsselung. Mit dieser Maßnahme lässt sich das Risiko eines Datenverlusts drastisch verringern, vor allem bei verlorenen oder gestohlenen Laptops; sie wird daher auch denjenigen empfohlen, die sich nicht unbedingt vor Angriffen auf den Speicher fürchten. Die Microsoft-eigene Implementierung ist BitLocker, doch es gibt auch Lösungen von Drittanbietern. Die Festplattenverschlüsselung (Full Disk Encryption, FDE) ist auch Bestandteil vieler Linux-basierter Systeme ( B. in Ubuntu Version 20 und höher) und basiert normalerweise auf LUKS. Eine Kombination aus TPM und FDE bietet maximale Zuverlässigkeit. Mögliche Nachteile: Bei einem größeren Crash kann nichts von der Festplatte wiederhergestellt werden. Daher ist ein gut funktionierendes Backup-System ein absolutes Muss. Gelegentlich kommt es zu einer spürbaren Verlangsamung der Laufwerksleistung, insbesondere beim Hochfahren des Computers.
  • Deaktivieren des Ruhezustands/Standby-Modus. Wenn Sie den Standby-Modus deaktivieren und nur den Ruhezustand belassen, können Angreifer nur noch äußerst selten auf einen hochgefahrenen und teilweise entschlüsselten Computer zugreifen, der für DMA-Angriffe und andere Methoden anfällig ist. Die Kehrseite dieser Lösung liegt ebenfalls auf der Hand, denn der Standby-Modus ist der schnellste und bequemste Weg, den Computer nach der Arbeit oder bei einem Ortswechsel im Büro „auszuschalten“. Sollten Sie sich für diesen Weg entscheiden, implementieren Sie auf jeden Fall FDE; ansonsten werden die Mitarbeiter höchstwahrscheinlich den Ruhezustand nutzen, und die Ruhezustand-Datei ist Angriffen schutzlos ausgeliefert.
  • Deaktivieren des Ruhezustands. Wenn der Ruhezustand deaktiviert ist, kann ein Speicherabbild nicht von einer Datei auf einem ausgeschalteten Computer kopiert werden. Für kritische Computer können Sie sowohl den Ruhezustand als auch den Ruhemodus deaktivieren; diese Computer können lediglich ausgeschaltet werden. In Kombination mit FDE, TPM und anderen Maßnahmen gibt es kaum noch Möglichkeiten für Speicherangriffe; die Beeinträchtigung der Benutzer wäre jedoch beträchtlich, weshalb es sich lohnt, ernsthaft darüber nachzudenken, in welchen Fällen ein solches Vorgehen gerechtfertigt ist.

Erzählen Sie die unverblümte Wahrheit

Wenn Sie sich dazu entschließen, dass die Deaktivierung des Ruhezustands oder des Standby-Modus aus Sicherheitsgründen gerechtfertigt ist, sollten Sie sorgfältig überlegen, für welche Benutzer diese Richtlinie durchgesetzt werden muss. Vermutlich betrifft dies nicht 100 % der Mitarbeiter, sondern vielmehr diejenigen, die mit wichtigen Informationen arbeiten. Sie sollten ihnen erklären, dass Passwörter und andere Daten auf vielfältige Weise gestohlen werden können, weshalb Maßnahmen wie der „Gebrauch eines Antivirenprogramms“ und das „Vermeiden von Websites dieser und jener Art“ nicht ausreichen, um ernsthafte Sicherheitsvorfälle abzuwenden.

Es empfiehlt sich, zu jeder Sicherheitsmaßnahme ein paar Worte zu verlieren und den Mitarbeitern ihren Zweck zu erläutern. Die vollständige Festplattenverschlüsselung bietet Schutz vor dem einfachen Kopieren von Daten von einem verlorenen oder gestohlenen Computer sowie vor Evil-Maid-Angriffen; d. h. vor einem Fremden, der physischen Zugang zum Computer hat. Die Deaktivierung des Ruhezustands und des Standby-Modus verstärkt diese Sicherheitsvorkehrungen, sodass die zusätzlichen fünf Minuten, die zum Ein- und Ausschalten des Computers benötigt werden, dazu beitragen, dass der Mitarbeiter nicht zum Buhmann wird, wenn sein Passwort bei einem Cyberangriff verwendet wird.

Tipps