Intel: Sicherheitsforscher entdecken acht neue Spectre-Lücken

Nach Angaben der c’t haben Forscher acht neue Sicherheitslücken in Intel-CPUs entdeckt. Vier davon gelten als „hochriskant“. CVE-Nummern sind bereits vergeben. Einen offiziellen Namen haben die Lücken hingegen noch nicht. Die c’t bezeichnet sie als Spectre Next Generation (Spectre-NG). Das Magazin beruft sich dabei auf Dokumente, zu denen es exklusiv Zugang hat.

Demnach sind die nun entdeckten Schwachstellen teilweise gravierender als die Anfang des Jahres bekannt gewordenen Angriffsszenarien Spectre und Meltdown. Eine davon könnte sich vor allem im Cloudumfeld als gefährlich erweisen, das sie sich über die Grenzen virtueller Maschinen hinweg für Angriffe ausnutzen lässt. „Angreifer könnten ihren Schadcode in einer virtuellen Maschine ausführen und von dort aus das Wirtssystem attackieren.“ schreibt das Magazin.

Intel-Prozessoren: Schweizer Käse

Ob auch AMD-Prozessoren von den neuen Lücken betroffen sind, wird derzeit noch untersucht. In jedem Fall müssen die Lücken durch Patches oder sogar BIOS-Update geschlossen werden. Laut c’t plant Intel die Schwachstellen in zwei Patch-Wellen zu schließen. Die ersten Fehlerbereinigungen sollen bereits im Mai veröffentlicht werden, im August sollen weitere folgen. c’t-Autor Jürgen Schmidt lässt an den Intel-Prozessoren kein gutes Haar: „Insgesamt zeigen die Spectre-NG-Lücken, dass Spectre und Meltdown keine einmaligen Ausrutscher waren. Es handelt sich eben nicht um ein simples Loch, das man mit ein paar Flicken nachhaltig stopfen könnte. Es verdichtet sich vielmehr das Bild einer Art Schweizer Käse: Für jedes abgedichtete Loch, tauchen zwei andere auf. Das ist die Folge davon, dass bei der Prozessorentwicklung der letzten zwanzig Jahre Sicherheitserwägungen immer nur die zweite Geige gespielt haben.“

Spectre und Meltdown

Anfang des Jahres hatten mehrere Forscher unabhängig voneinander die mit Spectre und Meltdown bezeichneten Angriffsszenarien entdeckt. Von „Sicherheitslücken“ im klassischen Sinn zu sprechen, ist dabei aber etwas zu kurz gegriffen, denn es handelt sich nicht etwa um eine einzelne fehlerhaft implementierte Funktion von Prozessoren. Vielmehr geht es um Seitenkanalangriffe auf Mechanismen der spekulativen Befehlsausführung (speculative execution) und dem Umsortieren von Befehlen (out-of-order execution). Diese Methoden existieren in x86-Prozessoren seit dem Pentium Pro von 1995 und wurden seitdem nicht nur bei Intel-CPUs, sondern in allen modernen Designs eingesetzt. Ausnahmen sind der Itanium und die bis 2013 erschienenen frühen Atom-Prozessoren, die nicht spekulativ arbeiten.

Dennoch betrifft das Problem Intel-Chips in besonderer Weise, denn die Meltdown-Attacke funktioniert nur bei diesen. Dabei handelt es sich um einen Angriffsvektor, über den Programme aus virtuellen Maschinen ausbrechen können, oder, falls diese nicht existieren, auf dem lokalen System Zugriff auf Speicherbereiche des Betriebssystems haben. Somit ist es möglich, sensible Daten wie Passwörter, entschlüsselte Daten oder gleich die Keys von Krypto-Verfahren selbst abzufangen. Dagegen gibt es eigentlich die auf Hardwareebene befindliche Gegenmaßnahme wie die Speicherverwürflung ASLR – doch Meltdown umgeht diese. Helfen kann nur die gegenseitige Isolation von Speicherseiten der Kernel, auch bekannt als „page table isolation“ (PTI oder KPTI), die Umsetzung dessen wurde KAISER getauft. Sie ist im aktuellen Linux-Kernel 4.14.11 bereits umgesetzt. Durch die Arbeit daran wurde Meltdown, noch bevor es so genannt wurde, bereits vor einigen Tagen bekannt.

Spectre betrifft auch andere Prozessoren

Daher wurde zunächst auch angenommen, dass das Problem mit dem spekulativen Daten nur Intel-Chips betreffe, was der CPU-Hersteller jedoch anders sieht. Auch AMDs erste Äußerungen zu der Sache sind nur die halbe Wahrheit, denn neben Meltdown gibt es auch noch Spectre, und das funktioniert laut Tests von Sicherheitsforschern mindestens bei CPUs von AMD, ARM und Intel. Spectre greift die spekulative Ausführung von Befehlen und die Verzweigungsvorhersage an, daher besteht das Logo des Bugs auch aus einem Geist mit einem Zweig in der Hand.

Im Kern besteht Spectre aus einem Programm, das andere Anwendungen dazu bringt, ihre Daten preiszugeben. Dazu werden fehlerhafte Verzweigungsvorhersagen und nicht tatsächlich benötigte Befehle ausgeführt, deren Ergebnisse dann aus Caches des Prozessors ausgelesen werden. Spectre ist dabei noch etwas gefährlicher als Meltdown, denn unter anderem war es möglich, über ein Programm in Javascript an Daten aus dem Browser zu kommen. Das übliche Sicherheitskonzept der Sandbox eines Browsers, in der streng isolierte Programme beispielsweise via Javascript laufen sollen, ist damit gebrochen. Ein Patch des Betriebssystems allein hilft nicht gegen Spectre, vielmehr müssen sämtliche Anwendungen auf Angreifbarkeit überprüft werden. Daher sagen auch die Sicherheitsforscher von Googles Project Zero „das wird uns noch einige Zeit lang erschrecken“.

Das Security-Projekt von Google hat auch zuerst umfassend über Meltdown und Spectre berichtet, entdeckt wurden die Probleme unabhängig voneinander vom dort tätigen Sicherheitsforscher Jann Horn sowie von Experten des deutschen Unternehmens Cyberus sowie der Universitäten in Graz, Adelaide und unabhängigen Forschern. Nicht nur das große Team, auch der zeitliche Ablauf weist auf die Größe des Gesamtproblems hin: Laut Google wurden die Fehler bereits im Juni 2017 an ARM, AMD und Intel gemeldet, und die Lücken sollten zumindest auf Ebene der Betriebssysteme bis zum 9. Januar 2018 geschlossen werden.

Tipp: Wie gut kennen Sie sich mit Prozessoren aus? Überprüfen Sie Ihr Wissen – mit dem Quiz auf silicon.de.