Neue Mega-Lücke bei Intel-Chips entdeckt

"ZombieLoad" haben IT-Sicherheitsexperten der TU Graz zu Jahresbeginn ein von ihnen  entdecktes Sicherheitsleck bei Intel-Prozessoren genannt , mit der Daten aus Computersystemen ausgelesen werden können. Seither gab es ein Software-Patch und neue Prozessoren. Mit einer neuen Variante des alten Angriffs sind aber auch diese nicht mehr sicher, teilte die TU Graz am Mittwoch mit.

Von der Anfang 2019 entdeckten Angriffsmöglichkeit "ZombieLoad" waren vor allem von Intel entwickelte Prozessoren betroffen, die zwischen 2012 und Anfang 2018 hergestellt wurden. Diese Sicherheitslücke nutzt die optimierte Arbeitsweise von Computerprozessoren aus, um auf sensible Daten zugreifen zu können: Um schneller arbeiten zu können, bereiten Computersysteme zum einen mehrere Arbeitsschritte parallel vor und verwerfen dann jene wieder, die entweder nicht gebraucht werden oder für die es keine notwendigen Zugriffsrechte gibt. Beim sogenannten Hyper-Threading laufen zusätzlich mehrere Prozesse auf einer CPU gleichzeitig ab und nutzen auch die zur Verfügung stehenden Zwischenspeicher gemeinsam.

>>>Nachlesen:  "ZombiLoad" -  Neue Mega-Lücke bei Intel-Chips

Angreifer können Herzstück des Computers auslesen

Diese beiden Prozesse können bei einem Angriff ausgenutzt werden, um sensible Daten aus dem Kernel, dem Herzstück des Computers, auszulesen - beispielsweise Passwörter, die in gängigen Internet-Browsern gespeichert sind und eigentlich sicher verwahrt sein sollten. Die Grazer IT-Experten Michael Schwarz, Moritz Lipp und Daniel Gruss vom Institut für angewandte Informationsverarbeitung und Kommunikationstechnologie (IAIK) der TU Graz konnten bei ihren "Angriffen" im Klartext mitlesen, was gerade am Computer gemacht wurde. Ihre Ergebnisse haben die Forscher mit dem Prozessorenhersteller geteilt.

Der betroffene Hersteller entwickelte bereits einen Software-Patch und Updates für die CPU, die neuen Prozessoren mit der neu entwickelten Mikroarchitektur Cascade Lake galten gegen diese Art von Attacken als gesichert, hieß es in der Mitteilung. Wie die Grazer Forscher aber mittlerweile herausfanden, kann mit einer minimal veränderten Variante des Angriffscodes auch auf diese zugegriffen werden. Und auch der Software-Patch hat Lücken: "Im Grunde können damit Angreifende alles tun, was eigentlich nicht mehr möglich sein sollte. Das Software-Update erschwert es ihnen aber", wie Gruss schilderte.

>>>Nachlesen:  Microsoft warnt vor neuem Super-Virus

Neue Lücke wurde sofort gemeldet

Laut Gruss hat das Team die neue Sicherheitslücke bereits im April "sofort nachdem wir sie gefunden hatten", an den Hersteller gemeldet. Am Mittwoch wurden sie bei der ACM Conference on Computer and Communications Security in London präsentiert. "Wir veröffentlichen sie jetzt, weil Intel die Zeit benötigte, um eine Gegenstrategie zu entwickeln", betonte Gruss. Er riet allen Anwendern, alle neuen Sicherheitsupdates zu installieren und das Hyper-Threading zu deaktivieren, was allerdings deutliche Nachteile mit sich bringt, weil diese Technologie ja zur Verbesserung der Ressourcennutzung von Prozessoren implementiert wurde.

Gruss ging im Gespräch mit der APA davon aus, dass es nicht bei der neuen Variante von "ZombieLoad" bleiben wird und noch etliche weitere gefunden werden: "Wir sind am Anfang einer neuen Phase der IT-Sicherheit. Die gleiche Frage gab es bei der Software-Sicherheit in den 1990er-Jahren - heute finden wir in der Software so viele Fehler, wie nie zuvor, gleichzeitig ist sie aber auch so sicher wie nie zuvor", hob Gruss die Notwendigkeit und das Weiterentwicklungspotenzial der IT-Sicherheitsforschung hervor.

Auch "Meltdown" und "Spectre" entdeckt

Lipp, Gruss und Schwarz waren schon an der Entdeckung von  "Meltdown" und "Spectre"  zentral beteiligt. Die Forschung wurde über das ERC-Projekt Sophia, das Projekt DeSSnet und das Projekt ESPRESSO sowie aus einer Spende vom Hersteller Intel finanziert.

>>>Nachlesen:  Chip-Lücke: 32 Sammelklagen gegen Intel

Externer Link

Informationen zum Schutz vor dem Sicherheitsleck "ZombiLoad"