IT-Sicherheit Zombieload: Lücke in Intel-Prozessoren gefährdet Millionen PCs 

Von Henning Steier

14.5.2019

Moritz Lipp, Michael Schwarz und Daniel Gruss (von links) von der TU-Graz: Zombieload und Store to Lead Forwarding mitentdeckt.
Moritz Lipp, Michael Schwarz und Daniel Gruss (von links) von der TU-Graz: Zombieload und Store to Lead Forwarding mitentdeckt.
Bild: PD

Nach Spectre und Meltdown gefährden zwei neue Sicherheitslücken Rechner mit Intel-Prozessoren.

ZombieLoad und Store to Lead Forwarding: So nennen sich zwei Angriffsmethoden, die ein internationales Team von IT-Sicherheitsexperten entdeckt hat. Angreifer könnten mittels Malware Daten laufender Prozesse abgreifen, wenn sie auf demselben Kern läuft. In jedem Fall von der Lücke betroffen sind Rechner mit Intel-Prozessoren, die von 2012 bis Anfang 2018 hergestellt wurden. 

Auch an der Entdeckung der Lücke beteiligt: Daniel Gruss, Moritz Lipp und Michael Schwarz vom Institut für Angewandte Informationsverarbeitung und Kommunikationstechnologie der TU Graz (IAIK). Die Forscher waren auch Mitglied eines internationalen Teams, dass Anfang 2018 die Intel-Prozessorenlücken Meltdown und Spectre publik machte.

Kurzer Moment

«Um schneller arbeiten zu können, bereiten Computersysteme mehrere Arbeitsschritte parallel vor und verwerfen dann jene wieder, die entweder nicht gebraucht werden oder für die es keine notwendigen Zugriffsrechte gibt», schreiben die IT-Sicherheitsexperten in einer Medienmitteilung.

Konstruktionsbedingt müsse der Prozessor stets Daten weitergeben, auch wenn diese nicht die richtigen seien. Der Check der Zugriffsrechte passiere aber erst, wenn bereits sensible Rechenschritte vorausgearbeitet worden seien, die auf Annahmen des Computersystems beruhten. «In diesem kurzen Moment zwischen Befehl und Check können wir mit der neuen Attacke die bereits geladenen Daten von anderen Programmen sehen», erklärt Daniel Gruss. So können die Forschenden im Klartext mitlesen, was gerade am Computer gemacht wird. Malware und Angriffsziel müssen aber auf demselben Prozessorkern laufen.

Updates bereit

Intel wurde von den Entdeckern der Lücken bereits 2018 informiert. Dementsprechend stehen Softwareupdates bereit, welche die Probleme beheben sollen.  Aber die Updates können neue Probleme liefern: «Jede CPU hat mehrere Kerne und jeder Kern ist noch einmal geteilt. So können mehrere Programme gleichzeitig laufen. Wir glauben, dass einer dieser zwei Bereiche gelöscht werden muss. Das würde Leistungseinbußen von 50 Prozent bedeuten. Oder in einer Cloud, die von der Angriffsmethode Zombieload ebenfalls bedroht ist, 50 Prozent weniger mögliche Nutzerinnen und Nutzer auf der derselben Hardware », sagt Daniel Gruss.

Komplexe Angriffe

ZombieLoad und Store to Leak Forwarding sind nach Einschätzungen ihrer Entdecker relativ komplexe Angriffsmethoden. Wohl auch deshalb wurden sie noch nicht von böswilligen Angreifern ausgenutzt. Die vier Einträge im branchenrelevanten Verzeichnis der Common Vulnerabilities and Exposures (CVEs) für ZombieLoad sind als gering (3,8) bis mittel (6,5) eingestuft.

Beim Store to Leak Forwarding wird ebenfalls die beschriebene Arbeitsweise des Prozessors ausgenutzt, um missbräuchlich auf Daten zuzugreifen. Es geht aber nur um Metadaten, was diese Angriffsmethode noch ungefährlicher macht als ZombieLoad. 

Warten auf andere Hersteller

Noch ist übrigens nicht publik geworden, ob auch Prozessoren anderer Hersteller, etwa AMD, für die Angriffe anfällig sind. 

Im Team, das die Lücken entdeckte, waren auch Mitarbeiter von Cyberus Technology, von der KU Leuven  und vom Worcester Polytechnic Institute. Intel will die Lücken aber auch selbst aufgespürt haben und nennt sie Microarchitectural Data Sampling (MDS). Dementsprechend wurden die Fehler Microsoft bereits gemeldet, um am monatlichen Patch Day Updates bereitstellen zu können, welche die Mängel beheben. 

Hier können Sie dem Autor auf Twitter folgen – und dort können Sie sich mit ihm auf Linkedin vernetzen.

Bilder des Tages

Zurück zur Startseite