Neue Sicherheitslücke in Intel-Prozessoren: Das müsst ihr wissen

Sicherheitsforscher*innen beschäftigen sich seit Jahren mit der Suche nach Schwachstellen in der Hardware von Computer-Prozessoren. In der Vergangenheit haben sie bereits einige, gravierende Sicherheitslücken gefunden (Stichwort: Meltdown und Spectre).

Am Dienstag haben die Forscher*innen mit dem ÆPIC Leak Informationen zu einer neuen Lücke bekannt gemacht. Wir haben dafür mit Martin Schwarzl und Andreas Kogler von der TU Graz gesprochen, und alles, was ihr dazu wissen müsst, zusammengetragen.

Wer hat die Schwachstelle entdeckt?
Pietro Borrello aus Rom, Andreas Kogler, Martin Schwarzl, Daniel Gruss von der TU Graz, Moritz Lipp von Amazon Web Services sowie Michael Schwarz vom Cispa Helmholtz Center for Information Security haben die Lücke entdeckt. Sie wurde über das „Bug Bounty Programm“ an Intel gemeldet. Werden Schwachstellen über ein solches Programm gemeldet, hat der Hersteller die Möglichkeit, zu reagieren. Die Informationen gelangen erst nach Ablauf einer bestimmten Frist an die Öffentlichkeit, meistens, wenn es eine Lösung für das Problem gibt.

Was haben die Forscher rausgefunden?
Durch eine fundamentale Schwäche in der Prozessor-Architektur des Chipherstellers Intel lässt sich an geheime Daten, etwa Passwörter oder kryptografische Schlüssel, in PCs und Servern gelangen. Eine Angreifer*in mit Administratoren-Rechten kann über einen nicht initialisierten Speicher Daten auslesen, die sich zuvor in diesem Speicher befanden. Die Forscher*innen gaben dieser Lücke den Namen „ÆPIC Leak“.

Warum ÆPIC Leak?
„Das Modul, das wir nutzen, heißt APIC“, erzählt Schwarzl. Betroffen ist konkret das Register des lokalen Advanced Programmable Interrupt Controller (APIC), der eine integrierte CPU-Komponente ist. APIC ist dafür verantwortlich, logische Prozessoren (LPs) zu akzeptieren und richtig zu reihen. Jede CPU hat mehrere Kerne und jeder Kern hat Teile privater Caches. Die Forscher haben herausgefunden, dass diese nicht richtig initialisiert werden.

Zwischen dem L2 und Last-Level-Cache werden Daten, die davor abgerufen worden sind, übertragen und können so über dieses Register ausgelesen werden. „Wir haben die CPUs durchprobiert und dabei diesen komischen Effekt gesehen, den wir in dieser Attacke auch nutzen können“, erklärt Kogler: „Wir haben unsere eigenen Daten da liegen sehen.“

Welche Prozessoren sind betroffen?
Diese Schwachstelle mit dem Namen ÆPIC Leak betrifft etwa die mobilen Ice-Lake-CPUs der 10. Generation und neuer. Intel hat eine Liste der weiteren betroffenen Prozessoren veröffentlicht. Dazu zählen etwa:

• Ice Lake Xeon-SP: 3rd Gen Intel Xeon Scalable Prozessor-Familie
• Ice Lake D: Intel Xeon D Prozessor
• Gemini Lake: Intel Pentium Prozessor Silver Serie
• Gemini Lake: Intel Celeron Prozessor J Serie
• Gemini Lake: Intel Celeron Prozessor N Serie
• Ice Lake U,Y: 10. Generation Intel Core Prozessor-Familie
• Rocket Lake: 11. Generation Intel Core Prozessor-Familie
• Rocket Lake: Intel Xeon E-2300 Prozessor-Familie
• Rocket Lake: Intel Xeon E-1300 Prozessor-Familie

Prinzipiell sind mehr Prozessoren betroffen, aber die gefundene Schwachstelle kann auf den anderen nicht aktiv ausgenutzt werden.

Was ist notwendig, damit die Schwachstelle ausgenutzt werden kann?
Angreifer*innen benötigen einerseits Administratoren-Rechte, um die Schwachstelle auszunutzen. Andererseits ist diese nur für jene Nutzer*innen relevant, die Intel SGX nutzen. SGX steht für Software Guard Extensions. Es wurde für Entwickler*innen geschaffen, die eine Umgebung mit hoher Datensicherheit brauchen. Mit SGX kann der Programmcode von Anwendungen eigene Speicherbereiche (Enklaven) belegen, die vor Prozessen, die auf höherer Privilegierungsstufe ausgeführt werden, geschützt sind.

Wer nutzt SGX in der Regel?
„Als Enduser*in verwendet man SGX nicht sehr häufig. Ein Beispiel wäre das Speichern von Fingerprint-Daten als Use-Case“, erklärt Schwarzl. Das bedeutet, dass sich einfache Computer-Nutzer*innen in der Regel keine Sorgen machen müssen, dass ihre Rechner betroffen sind und ihre Daten auf ihren Geräten ausgelesen werden können.

Ein konkreter Anwendungsfall für SGX ist laut Schwarzl etwa ein Server-Betreiber, der SGX verwendet, um die Software seiner User*innen damit zu schützen. „In diesem Szenario könnte es bösartige Serveranbieter geben, die über die Schwachstelle sensible Daten von Nutzer*innen stehlen“, sagt der Forscher.

Ist ÆPIC also für Privatnutzer*innen gefährlich?
Privatrechner sind in diesem Fall weit weniger gefährdet als Rechner von Server-Administrator*innen, die SGX verwenden. Es besteht also vielmehr die Gefahr, dass Daten über Cloud-Server abgegriffen werden, als über den eigenen Rechner.

Welche Daten können über die Schwachstelle abgegriffen werden?
Das Forschungs-Team hat kryptografische Schlüssel wie Private Keys extrahiert. Das ist etwa relevant bei digitalen Signaturen. „Damit bricht man die Integrität und man kann nicht mehr nachvollziehen, wer etwas signiert hat“, sagt Kogler. Das Besondere: Von außen lässt sich nicht feststellen, dass etwas gestohlen oder manipuliert wurde. Generell könne man laut den Forschern alle Daten stehlen, die in dem Prozessor gespeichert waren, das können auch Kreditkarten oder andere User-Daten sein.

Wie ist die Schwachstelle daher zu bewerten?
„Enduser*innen müssen sich keine Sorgen machen, dass ihre Rechner gefährdet sind, aber prinzpiell ist ÆPIC eine sehr starke Attacke, weil man damit die komplette Infrastruktur brechen kann. Sie ist sehr gut geeignet für die Ausführung von Code - auch deshalb, weil die Enklave schon beendet sein kann, die Daten sich aber immer noch im Speicher befinden und man diese auslesen kann“, erklärt Kogler.

Was sagt Intel dazu und was ist die Lösung für das Problem?
Intel empfiehlt Kund*innen, SGX weiterhin zu verwenden. Der Prozessor-Hersteller hat ein Microcode-Update für SGX-Prozessoren bereitgestellt, mit dem das Potenzial, die Lücke auszunutzen und sensible Daten zu stehlen, abgemildert wird. Intel wird auch ein SGX-Software-Development-Kit (SDK) für Windows und Linux bereitstellen. Intel hat dazu außerdem ein Security Advisory veröffentlicht.

Wurde die Schwachstelle bereits ausgenutzt?
Mit Sicherheit kann man das nicht bejahen oder verneinen. Weder Intel noch die Sicherheitsforscher gehen aber davon aus, dass die Schwachstelle bereits aktiv ausgenutzt worden ist, bevor sie bekannt gemacht wurde. Intel lobt gegenüber futurezone.at das Engagement der Forscher: „Intel glaubt daran, dass es sich auszahlt, mit gut ausgebildeten Sicherheitsforscher*innen zusammenzuarbeiten, um Schwachstellen zu identifizieren und Lösungen dafür zu finden.“

Gibt es auch aktuelle Sicherheitslücken in anderen Prozessoren?
Daniel Gruss, Martin Schwarzl und Andreas Kogler haben zusammen mit weiteren Forscher*innen am Dienstag ein weiteres, wissenschaftliches Papier zu einer neuen Schwachstelle in AMD-Prozessoren veröffentlicht. Die Lücke wurde "SQUIP" getauft und ermöglicht es, dass ein Angreifer*innen auf dem gleichen System und gleicher CPU Core ausspionieren kann, welche Arten von Instruktionen jemand ausführt. Das funktioniert aufgrund eines geteilten Schedulers in AMD-Prozessoren. Apples M1-Prozessoren haben das gleiche Design, aber sie sind aktuell nicht direkt betroffen.