Forscher der TU Graz:

Sogar Intels neueste Prozessoren sind löchrig

(Bild: flickr.com/carrotmadman6)

„ZombieLoad“ haben IT-Sicherheitsexperten der TU Graz zu Jahresbeginn ein von ihnen entdecktes Sicherheitsleck bei Intel-Prozessoren genannt, mit der Daten aus Computersystemen ausgelesen werden können. Seither gab es einen Software-Patch und neue Prozessoren. Mit einer neuen Variante des alten Angriffs sind aber auch diese zu überlisten, teilte die TU Graz mit.

Von der Anfang 2019 entdeckten Angriffsmöglichkeit „ZombieLoad“ waren vor allem von Intel entwickelte Prozessoren betroffen, die zwischen 2012 und Anfang 2018 hergestellt wurden. Diese Sicherheitslücke nutzt die optimierte Arbeitsweise von Computerprozessoren aus, um auf sensible Daten zugreifen zu können: Um schneller arbeiten zu können, bereiten Computersysteme zum einen mehrere Arbeitsschritte parallel vor und verwerfen dann jene wieder, die entweder nicht gebraucht werden oder für die es keine notwendigen Zugriffsrechte gibt. Beim sogenannten Hyper-Threading laufen zusätzlich mehrere Prozesse auf einer CPU gleichzeitig ab und nutzen die zur Verfügung stehenden Zwischenspeicher gemeinsam.

Angreifer können Passwörter auslesen
Diese beiden Prozesse können bei einem Angriff ausgenutzt werden, um sensible Daten aus dem Kernel, dem Herzstück des Computers, auszulesen - beispielsweise Passwörter, die in gängigen Internet-Browsern gespeichert sind und eigentlich sicher verwahrt sein sollten. Die Grazer IT-Experten Michael Schwarz, Moritz Lipp und Daniel Gruss vom Institut für angewandte Informationsverarbeitung und Kommunikationstechnologie (IAIK) der TU Graz konnten bei ihren „Angriffen“ im Klartext mitlesen, was am Computer gemacht wurde. Ihre Ergebnisse haben die Forscher mit dem Prozessorhersteller geteilt.

(Bild: flickr.com/sigalrm)

Auch neueste Intel-Chips sind angreifbar
Intel entwickelte bereits einen Software-Patch und Updates für die CPU, die neuen Prozessoren mit der neu entwickelten Mikroarchitektur Cascade Lake galten gegen diese Art von Attacken als gesichert, hieß es in der Mitteilung. Wie die Grazer Forscher aber mittlerweile herausfanden, kann mit einer minimal veränderten Variante des Angriffscodes auch auf diese zugegriffen werden. Und auch der Software-Patch hat Lücken: „Im Grunde können damit Angreifende alles tun, was eigentlich nicht mehr möglich sein sollte. Das Software-Update erschwert es ihnen aber“, wie Gruss schilderte.

Laut Gruss hat das Team die neue Sicherheitslücke bereits im April „sofort nachdem wir sie gefunden hatten“, an den Hersteller gemeldet. Am Mittwoch wurden sie bei der ACM Conference on Computer and Communications Security in London präsentiert. „Wir veröffentlichen sie jetzt, weil Intel die Zeit benötigte, um eine Gegenstrategie zu entwickeln“, betonte Gruss. Er riet Anwendern, alle neuen Sicherheitsupdates zu installieren und das Hyper-Threading zu deaktivieren, was allerdings deutliche Leistungsnachteile mit sich bringt, weil diese Technologie ja zur Verbesserung der Ressourcennutzung von Prozessoren implementiert wurde.

Die TU-Graz-Forscher Daniel Gruss, Michael Schwarz und Stefan Lipp

(Bild: Juergen Radspieler)

„Anfang einer neuen Phase der IT-Sicherheit“
Gruss ging davon aus, dass es nicht bei der neuen Variante von „ZombieLoad“ bleiben wird und noch etliche weitere gefunden werden: „Wir sind am Anfang einer neuen Phase der IT-Sicherheit. Die gleiche Frage gab es bei der Software-Sicherheit in den 1990er-Jahren - heute finden wir in der Software so viele Fehler wie nie zuvor, gleichzeitig ist sie aber auch so sicher wie nie zuvor“, hob Gruss die Notwendigkeit und das Weiterentwicklungspotenzial der IT-Sicherheitsforschung hervor.

Lipp, Gruss und Schwarz waren schon an der Entdeckung von „Meltdown“ und „Spectre“ - die Sicherheitslücken waren für Intel ein Security-GAU, unter dem das Unternehmens-Image heute noch leidet - zentral beteiligt. Die Forschung wurde über das ERC-Projekt Sophia, das Projekt DeSSnet und das Projekt ESPRESSO sowie aus einer Spende vom Hersteller Intel finanziert.