ZombieLoad: Prozessorenlücke gefährdet Millionen Computer

Ein internationales Forscherteam unter Beteiligung der TU Graz hat zwei neue Angriffsmethoden namens "ZombieLoad" und "Store-to-Leak Forwarding"  entdeckt, mit denen Millionen Computerprozessoren ausgetrickst werden können. Vermeintlich abgesicherte Daten sind bei einem etwaigen Angriff ungeschützt. Nachweislich betroffen sind Computer mit Intel-Prozessoren, die bis Anfang 2018 hergestellt wurden, möglicherweise aber auch Prozessoren anderer Hersteller.

Intel weiß bereits seit Mitte 2018 über die neuen Angriffsmöglichkeiten Bescheid und hatte offenbar Zeit, Sicherheits-Updates zu entwickeln sowie Partner zu informieren. Rechtzeitig zur Veröffentlichung der Ergebnisse des Forscherteams sollten die Software-Updates für die Prozessoren bereitstehen oder sogar online ausgeliefert worden sein. Wie gut diese Reparaturmaßnahme funktioniert und welche Folgen der Patch auf Computer hat, ist aber noch unklar. Im schlimmsten Fall sind Leistungseinbußen von bis zu 50 Prozent die Folge.

ZombieLoad und Store-to-Leak Forwarding

An der Entdeckung der neuen Angriffsmethoden maßgeblich beteiligt waren Daniel Gruss, Moritz Lipp und Michael Schwarz vom Institut für Angewandte Informationsverarbeitung und Kommunikationstechnologie der TU Graz (IAIK). Sie waren bereits Teil jener Gruppe, die Anfang 2018 die gefährlichen Bedrohungen "Meltdown" und "Spectre" enthüllt hat.

Die erste der neuen Angriffsmethoden wurde im Zuge der Aufarbeitung von Meltdown entdeckt. Meltdown erlaubt es Angreifern, Daten aus dem Prozessor auszulesen, bevor dieser überprüfen kann, ob man eigentlich die notwendigen Zugriffsrechte dafür besitzt. Die Sicherheitsforscher überprüften, ob es andere Schwachstellen bei einem Prozessor gibt, die Daten durchsickern lassen. Sie entdeckten ein Element in der Prozessorarchitektur, das trotz Stopfen der Meltdown-Lücke weiterhin Daten preisgab.

"Mit der neuen Attacke können wir bereits geladene Daten von anderen Programmen sehen", erklärt Daniel Gruss der futurezone. Für jeden Angriffsversuch mit ZombieLoad stünde nur ein extrem kurzes Zeitfenster von rund 200 Nanosekunden zur Verfügung. Man kann damit also immer nur kleine Datenschnipsel auslesen. Wird der Angriff jedoch wiederholt durchgeführt, sei es aber etwa möglich, Code zur Entsperrung einer Festplattenverschlüsselung zu rekonstruieren. Einen ZombieLoad-Angriff zu erkennen, sei schwierig.

Problem Hyper-Threading

ZombieLoad nutzt eine Arbeitsweise moderner Prozessoren aus, bei der mehrere Arbeitsschritte zur Effizienzsteigerung parallel ausgeführt werden. Manche Arbeitsschritte werden dabei spekulativ im Vorraus ausgeführt und bei Bedarf wieder verworfen. Diese übrig gebliebenen Daten "laufen kopflos durch die Gegend", meint Gruss. Der Name ZombieLoad schien deshalb passend. Die parallele Arbeitsweise hat Intel in seiner Hyper-Threading-Technologie perfektioniert. Sie stellt laut den Sicherheitsforschern allerdings einen großen Schwachpunkt bei der neuen Angriffsmethode dar.

"Wir glauben, dass man Hyper-Threading abschalten muss", meint Gruss. "Das ist schade, weil die Technologie Effizienz bringt. Sie spart Zeit und Strom. Aber sie macht auch Angriffe leichter." Bei seinen neuesten Prozessorgenerationen hat Intel offenbar einen Weg gefunden, um ZombieLoad-Angriffe zu verhindern. Die seit Anfang 2019 ausgelieferten Prozessoren mit "Whiskey Lake"-, "Coffee Lake"-, und "Cascade Lake"-Architekturen sind nicht mehr betroffen. Sie sind in einigen neuen Laptops, Desktop-PCs und Servern eingebaut.

Leistungseinbußen

Ältere Intel-Prozessoren müssen hingegen per Patch vor ZombieLoad geschützt werden. Das hat seinen Preis, meint Gruss, und der wird in Form gedrosselter Leistung bezahlt. "Egal wie gut die Patches sind, unsere Computer werden nicht schneller werden." Um wieviel langsamer Intel-Rechner künftig arbeiten werden, ist noch unklar. "Im schlimmsten Fall benötigt man Patches und das Hyper-Threading wird abgeschaltet. Dann hätte man bis zu 50 Prozent Leistungsverlust." Gerade für Cloud-Anbieter wäre ein solches Vorgehen fatal. "Sie würden auf einen Schlag die Hälfte ihrer Rechenkraft verlieren."

Zweite Methode

Die zweite Angriffsmethode, die die Sicherheitsforscher entdeckt haben, ist im Vergleich zu ZombieLoad weniger gefährlich. Auch beim Store-to-Leak Forwarding wird die Arbeitsweise des Prozessors ausgenutzt, um Daten auszulesen, auf die man eigentlich keinen Zugriff haben dürfte. Im Gegensatz zu ZombieLoad geht es dabei aber um Metadaten. Dadurch können Angreifer etwa Ansatzpunkte ausfindig machen, um etwaige Lücken im Betriebssystem gezielt anzugreifen.

Spannende Wochen

Sowohl ZombieLoad als auch Store-to-Leak Forwarding sind im Vergleich zu Meltdown anspruchsvollere Angriffsmethoden. Tatsächlich ausgenutzt worden sind sie noch nicht. Nun hängt es von Prozessorherstellern ab, wie gut die aufgezeigten Sicherheitslücken geschlossen werden. Während bei Meltdown bereits von Anfang an feststand, dass neben Intel-Prozessoren auch Entwicklungen von AMD und ARM betroffen waren, ist nun unklar, welche Hersteller außer Intel noch betroffen sind.

Gruss geht jedenfalls davon aus, dass Intel sein Wissen über die neuen Angriffsmethoden industrieintern weitergegeben hat. Die Mitspieler am Chip-Markt sind also wahrscheinlich vorgewarnt. Wie sehr sie es schaffen, auf die neuen Bedrohungsszenarien zu reagieren, wird man erst in den kommenden Wochen sehen. Auf der Webseite ZombieLoadAttack.com werden mehr Details zu ZombieLoad beschrieben. Weitere Informationen zu beiden neuen Angriffsmethoden gibt es bald auf der eigens eingerichteten Webseite CPU.fail.