ExSpectre: Forscher verstecken Malware in harmlosen Apps

Forscher haben erneut eine Möglichkeit gefunden, die von modernen Prozessoren genutzte spekulative Ausführung von Befehlen für das Einschleusen von Schadsoftware zu missbrauchen. Es handelt sich allerdings nicht um eine neue Spectre-Variante, um Speicherinhalte auszulesen. Der ExSpectre genannte Angriff nutzt die spekulative Ausführung stattdessen, um gefährlichen Code zu verstecken.

Nach Angaben eines Forscherteams der University of Colorado Boulder (UCB) lässt sich eine eigentlich harmlose App, die Nutzer bedenkenlos auf ihren Systemen installieren, für das Einschleusen von Schadcode verwenden. Dieser Code kann demnach nicht einmal von Sicherheitsanwendungen aufgespürt werden.

Tatsächlich sind die Binärdateien aber so konfiguriert, dass sie nach Erhalt eines externen Auslösers spezielle Threads per Speculative Execution starten, die wiederum die harmlose App dazu bringen, schädliche Aktionen auszuführen.

„Wir zeigen dies anhand der OpenSSL-Bibliothek als gutartiges Trigger-Programm und aktivieren ein bösartiges Payload-Programm, wenn sich ein Angreifer wiederholt mit dem infizierten OpenSSL-Server über eine TLS-Verbindung mit einer bestimmten Verschlüsselungssuite verbindet“, teilten die Forscher mit. Zudem sei es möglich, verschlüsselte Speicherbereiche zu entschlüsseln, oder Apps so zu manipulieren, dass sie eine lokale Shell öffnen, was es wiederum erlaubt, Befehle auf dem System des Opfers auszuführen.

„Als ich dieses Papier zum ersten Mal sah, dachte ich sofort, dass dies eine sehr ordentliche Möglichkeit ist, Malware zu verstecken“, ergänzte Daniel Gruss, einer der Entdecker der Meltdown- und Spectre-Lücken. „Eine sehr interessante Idee. Sie zeigt, dass die spekulative Ausführung auch auf andere schädliche Arten eingesetzt werden kann.“ Der Angriff zeige aber auch, dass es außer Spectre und Meltdown noch mehr Möglichkeiten gebe, die spekulative Ausführung für schädliche Zwecke einzusetzen.

Die Forscher betonen, dass es derzeit nicht möglich ist, ExSpectre-Angriffe auf Softwareebene aufzuhalten. Tatsächlich sei wahrscheinlich nur eine neue Hardware-Generation in der Lage, Abhilfe zu schaffen. Diese Einschätzung wird auch von einem von Google-Mitarbeitern veröffentlichtes Whitepaper (PDF) untermauert.

Whitepaper

SAP S/4HANA trifft ECM: Was Sie für eine erfolgreiche Migrationsstrategie beachten sollten

Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.

Stefan Beiersmann @beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Digitale Risiken im Blick: Dark Web Monitoring für Unternehmen

Illegale Marktplätze, Foren und Chats – im Kampf gegen Cyberkriminelle ist das Deep und Dark Web als Informationsquelle alles andere…

2 Tagen ago

HPE GreenLake: Optimale Basis für Ihre Cloud

HPE GreenLake ist ein IT-as-a-Service-Angebot, das das Cloud-Erlebnis in Ihre On-Premises-Infrastruktur bringt und Ihre Edges, Clouds und Rechenzentren vereinheitlicht. Lernen…

2 Tagen ago

HPE unterstützt höhere Nachfrage nach virtuellen Arbeitsplätzen

Kunden stehen neue Finanzierungsoptionen zur Verfügung. Dazu gehören Kurzzeitmieten und ein befristeter Zahlungsaufschub. Vorkonfigurierte VDI-Lösungen sollen die Einführung virtueller Arbeitsplätze…

3 Tagen ago

IDC: COVID-19 lässt weltweite IT-Ausgaben voraussichtlich um 2,7 Prozent schrumpfen

Besonders hart soll die Corona-Krise die Nachfrage nach PCs, Tablets und Smartphones treffen. Auch in den Bereichen Software und IT-Services…

3 Tagen ago

Bis zu 5,3 GHz: Intel stellt neue Mobilprozessoren vor

Sie richten sich an Spieler und Entwickler. Intel verspricht einen Leistungszuwachs von bis zu 44 Prozent im Vergleich zu einem…

3 Tagen ago

Microsoft verschiebt Support-Ende für TLS 1.0 und 1.1

Die veralteten Verschlüsselungsprotokolle erhalten aufgrund der Corona-Krise eine Gnadenfrist. Edge Chromium unterstützt sie noch mindestens bis Juli, Internet Explorer und…

3 Tagen ago