ZombieLoad: Intel-Prozessoren erneut gefährdet

ZombieLoad heißt sie: Eine Attacke mit der Millionen Computerprozessoren ausgetrickst werden können. Damit lassen sich Daten auslesen, die eigentlich geschützt sein sollen. Ein Angreifer kann damit beispielsweise unbemerkt überwachen, was der Nutzer eingibt, um an heikle Daten wie Passwörter zu gelangen.

Diese Sicherheitslücke war für ältere Intel-Prozessoren bereits seit Mai 2019 bekannt. Doch nun hat das internationale Forscherteam ein weiteres Dokument veröffentlicht, aus dem hervorgeht, dass von der Sicherheitslücke auch neuere Intel-Prozessoren (der zehnten Generation) betroffen sind und die Maßnahmen, die Intel zur Behebung vorgeschlagen haben, nur teilweise funktionieren. Daniel Gruss, Moritz Lipp und Michael Schwarz von der TU Graz haben an dem Forschungspapier mitgearbeitet, das am Mittwoch in London auf der renommierten ACM CCS-Konferenz präsentiert wird.

Unter Embargo

„Eine Variante von ZombieLoad geht auch auf den neueren Cascade Lake Prozessoren“, erzählt Gruss im Gespräch mit der futurezone. „Die neuen CPUs waren zum Zeitpunkt unserer Tests noch schwierig zu bekommen und für Privatkunden noch nicht erhältlich. Wir konnten sie aber über Cloud-Provider ausprobieren und haben getestet, ob der Angriff dort auch funktioniert - und das tut er.“ Das war im April - einen Monat, bevor ZombieLoad der Öffentlichkeit präsentiert wurde. Und einen Monat bevor Intel in einem offiziellen Statement verkündet hatte, dass „neue Prozessoren von dem Problem nicht betroffen“ seien.

Die Forscher konnten dem öffentlich nicht widersprechen, denn sie hatten ein Embargo unterzeichnet, dass dieser Teil ihrer Forschung bis zum 12. November 19.00 Uhr geheim bleiben muss. „Wir haben Intel darüber im April informiert und Intel hat sehr kurzfristig entschieden, dass dieser Teil noch länger unter Embargo bleibt“, sagt Gruss. Viele Cloud-Hersteller werden deshalb nun sehr wütend auf Intel sein, denn sie haben sich auf Intel verlassen und sich neue Prozessoren gekauft, unter der Annahme, dass diese sicher sind. „Aber viele neue Produkte sind jetzt davon betroffen“, sagt Gruss.

„Uns ist nicht klar, warum das so lange geheim gehalten werden musste. Und es ist ein gutes Beispiel dafür, wo bei Sicherheitsforschung das Dilemma liegt: Einerseits ist klar, dass Intel nicht nach drei Wochen eine Lücke beheben kann, von der sie noch nicht genau wissen, wie sie eigentlich funktioniert. Andererseits müsste man die Geheimhaltung abbrechen, wenn Intel dann empfiehlt, die neuen Prozessoren zu kaufen, weil sie sicher sind“, sagt der Forscher der TU Graz, der die Ergebnisse am Mittwoch in London präsentieren wird.

Software-Update hilft nur begrenzt

Doch damit nicht genug: Eine neue Variante von ZombieLoad lässt sich nicht nur auf Intel-Prozessoren der Generation 10 durchführen, sondern auch das von Intel als Lösung präsentierte Software-Update scheint auch ältere Rechner nicht ausreichend von der Attacke zu schützen. „Auch das haben wir im Mai getestet und sofort an Intel kommuniziert, dass es nicht ausreichend funktioniert. Es macht den ZombieLoad-Angriff zwar schwieriger, schützt aber nicht zur Gänze davor", sagt Gruss.

„Meiner Einschätzung nach ist das Problem auf der Software-Ebene ganz schwierig in den Griff zu kriegen. Bei einer Software-Lösung bin ich daher ganz pessimistisch“, so Gruss. „Bei einer Hardwarelösung in diesem oder im nächsten Quartal bin ich optimistischer.“

Vorteile vs. Sicherheit

Das Einzige, das derzeit gegen die neue Variante von ZombieLoad hilft, ist laut Gruss das Feature TSX abzuschalten. TSX ist eine Erweiterung um Synchronisationsmechanismen schneller zu machen. Dreht man das ab, verliert man den Vorteil dieser Erweiterung.  „Es ist unklar, wieviel Geschwindigkeit das in der Praxis bringt. Ich gehe davon aus, dass die Deaktivierung keinen merkbaren Performance-Verlust mit sich bringt“, meint Gruss.

Eine vollständige Lösung wäre laut Gruss neben dem Abschalten von TSX auch „Hyper-Threading“ abzuschalten sowie alle zur Verfügung stehenden Software-Updates einzuspielen. Hyper-Threading dient der Beschleunigung von Rechnerprozessoren und dabei wird ein Prozessor in zwei virtuelle geteilt, die unabhängig voneinander Rechenoperationen durchführen können.

Auch die Aussage von Intel, dass mit dem Software-Update die Probleme behoben werden können, stand unter Embargo. Doch warum halten sich Forscher daran? „Natürlich kann uns Intel nicht sagen, was wir machen sollen. Wir sind eine unabhängige Universität. Aber Intel kollaboriert mit der Uni, finanziert Doktoranden und ermöglicht, dass die Suche nach Sicherheitslücken an der Uni stattfinden kann. Als unabhängige Universität fragen wir uns allerdings schon, warum das Embargo so lange dauern muss.“

Intel lehnte eine Stellungnahme gegenüber futurezone.at ab. Laut einem Zdnet-Bericht kommentierte Intel, dass der Sinn der Software-Updates niemals gewesen sei, den Angriff vollständig zu verhindern, sondern nur, ihn schwieriger zu machen.