Software::Security
ZombieLoad: Neue CPU-Sicherheitslücke entdeckt
Intels CPU-Technologie sorgt erneut für ein neues Sicherheitsproblem. Bei vielen alten Core-i- und Xeon-Prozessoren ist es Prozessen möglich, auf Speicher und Programmcode zuzugreifen, der eigentlich zu einer anderen Anwendung gehört.
zombieloadattack.com
Auf
Spectre und Meltdown sowie die dazugehörigen Varianten der besagten Seitenkanalangriffe folgt nun eine neue Lücke.
ZombieLoad bzw. »Microarchitectural Data Sampling« (MDS) versetzt den Angreifer in die Lage, auf Daten anderer Anwendungen zuzugreifen. Dabei spielt es keine Rolle, ob die Daten in einem Betriebssystem oder in einer anderen Instanz einer virtuellen Maschine liegen – wichtig bei ZombieLoad ist lediglich, dass sie im selben Kern einer CPU liegen. Wie problematisch das Verhalten ist, hat beispielsweise Cyberus Technology GmbH
in einem Video demonstriert, in dem das Unternehmen auf einem Tails-System in einer
Qemu-Instanz das Surfverhalten eines Tor-Browsers protokolliert.
Wie schon bei früheren Attacken basiert auch ZombieLoad auf einer Ausnutzung von Eigenschaften des sogenannten »Speculative Execution Process«. Bei einer spekulativen Ausführung werden untätige Prozessor-Ressourcen verwendet, um für einen potenziellen zukünftigen Stand des Programmflusses Berechnungen vorauszuführen und Ergebnisse bereitzuhalten. Findet in den Berechnungen nun ein Wechsel von einem Thread statt, muss auch der Adressbereich gewechselt werden. Dabei werden im besten Fall auch alle Daten aus den Caches gelöscht, was allerdings einen Einfluss auf die Leistung des Systems haben dürfte. Moderne CPUs behalten die Daten noch eine Weile, isolieren aber den Zugriff.
ZombieLoad umgeht diesen Schutz, indem es die Datenstrukturen der Mikroarchtektur dazu nutzt, die Daten anderer Anwendungen auszulesen, die auf demselben Kern abgearbeitet werden. Insgesamt wurden dabei mindestens drei Angriffsvektoren identifiziert, die jeweils verschiedene Puffer betreffen. Vor allem der Zugriff über den »Line-Fill Buffer« (LFB) wird als besonders problematisch eingestuft. Besonders gut soll das mit Hyper-Threading klappen.
Intel hatte das Problem wohl bereits schon länger auf dem Schirm oder es aber durch eine Neuerung korrigiert. Die durch das Unternehmen gemeldete Attacke betrifft fast alle Core-i- und Xeon-Prozessoren seit 2011, außer der aktuellen Prozessortypen. So sind von dem Problem weder die Core i-8000U noch Core i-9000 ab Stepping 13 betroffen. Ältere CPU-Typen müssen deshalb mit einem Microcode-Update versorgt werden. Eine genaue Auflistung der Prozessoren liefert der Hersteller auf einer eigens eingerichteten Seite.
Die durch Intel ausgefüllten Einträge in Common Vulnerabilities and Exposures (CVEs) für ZombieLoad (CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 und CVE-2019-11091) sind als »gering« bis »mittel« klassifiziert. Während beispielsweise private Anwender nur ein geringes Risiko haben, da nur wenige Personen gleichzeitig auf das System zugreifen, dürften vor allem Cloud-Anbieter und Hoster ein erhöhtes Sicherheitsrisiko haben. Fest steht zudem, dass die Maßnahmen gegen die Lücken wieder Ressourcen kosten und die Ausführung des Codes bremsen wird.
Unter Linux liegen bereits Patches für alle aktuell unterstützten Kernelversionen bereit. Laut Greg Kroah-Hartman sind alle Nutzer angehalten, die korrigierten Versionen des Kernels einzuspielen. Es sei allerdings davon auszugehen, dass der erste Schub von Patches erst der Anfang sein wird und weitere Anpassungen folgen.
){kind=small}
