Die Zombies kommen: Neue Schwachstellen-Art in Intel-CPUs entdeckt

Forscher haben eine neue Klasse von Schwachstellen in Intel-Prozessoren ausfindig gemacht, die es Angreifern theoretisch ermöglichen, die von den CPUs verarbeiteten Daten abzugreifen. Die unter dem Namen "Zombieload" gesammelten Schwachstellen nutzen erneut Side-Channel-Attacken, wie es auch schon bei den "Meltdown"-, "Spectre"- und "Foreshadow"-Lücken der Fall ist. Die "Zombieload"-Schwachstellen basieren auf einer Ausnutzung von Eigenschaften des sogenannten "Speculative Execution Process", also der von Intel bei seinen CPUs integrierten Technologie, mit der Datenverarbeitung und die Leistung der Chips gesteigert werden soll. Seit mehr als einem Jahr jagen Spezialisten verschiedener Universitäten und Sicherheitsdienstleister bereits Lücken in verschiedenen Komponenten der spekulativen Ausführung, wobei das gesamte Ausmaß der Anfälligkeiten noch immer nicht ausgeschöpft zu sein scheint.

Die neuen Zombieload-Attacken werden als "Microarchitectural Data Sampling" (MDS) Attacken bezeichnet und zielen auf genau das - die Datenstrukturen der Mikroarchtektur, also Puffer für das Laden, Speichern und anderweitiges Verarbeiten von Daten. Sie werden von der CPU verwendet, um die im Innern der Recheneinheit verarbeiteten Daten schnell zu lesen und zu schreiben. Es handelt sich im Grunde um kleine Zwischenspeicher, die neben dem eigentlichen Cache der Rechenkerne im Einsatz sind.

Die Zombieload-Attacken nutzen Mechanismen zur normalen "spekulativen Ausführung" innerhalb dieser Strukturen der Mikroarchitektur, um auf Daten zu schließen, die andere Apps von der CPU verarbeiten lassen. Normalerweise hat ein Angreifer auf diese Daten keinen Zugriff. Insgesamt haben die Forscher drei MDS-Attacken identifiziert, die jeweils "Store Buffer", "Load Buffer" und "Line Fill Buffer" betreffen, wobei letzterer als besonders gefährlich gilt und als Zombieload oder "RIDL" bezeichnet wird.

CPUs ab 2011 anfällig - neue nicht mehr; Ausnutzung aufwendig

Nach Angaben der Forscher sind mit großer Wahrscheinlichkeit alle seit 2011 eingeführten Intel-CPUs für die Ausnutzung der Schwachstellen anfällig. In ihren Demos demonstierten die Forscher, wie die Angreifer die normalerweise bestehenden "Grenzen" überwinden, die eigentlich verhindern, dass ein Programm die Daten eines anderen Programms auf CPU-Ebene auslesen kann. Ähnliches war auch schon bei "Meltdown" und "Spectre" der Fall, wobei aber eben andere Anfälligkeiten im Speculative Execution Process ausgenutzt wurden.

Anders als bei den zuvor entdeckten Schwachstellen ist Intel in diesem Fall allerdings besser vorbereitet. So sind inzwischen bereits Microcode-Updates ausgeliefert worden, die die Lücken schließen. Neuere Chips - also aus der 8. und 9. Generation der Intel Core-Familie - sollen darüber hinaus nicht anfällig sein, weil sie bereits mit Schutzmaßnahmen gegen Speculative-Execution-Angriffe wie MDS-Attacken versehen wurden. Außerdem haben Microsoft, Apple und die Linux-Distributoren bereits begonnen, ihrerseites Updates für ihre Betriebssysteme zu verbreiten.

Hinzu kommt, dass die Wahrscheinlichkeit einer Ausnutzung aufgrund der Größe der betroffenen Datenstrukturen laut Intel in der Realität sehr gering sein soll. Auch soll die Komplexität der nötigen Methoden in keinem Verhältnis zu anderen Lücken stehen, die Angreifern zur Verfügung stehen. Außerdem müsste ein Angreifer große Datenmengen abgreifen und analysieren, um eventuell geheimen Daten auf die Spur zu kommen. Darüber hinaus lassen sich die Angriffe im Notfall wohl recht simpel vermeiden, indem die Nutzer Hyper-Threading deaktivieren.

Wie üblich gilt also vor allem eines: Die Anwender sollten die nun erscheinenden Sicherheitsupdates für ihre jeweiligen Betriebssysteme umgehend installieren, um sich gegen eventuelle Anfälligkeiten zu schützen.