Sicherheitsforscher haben eine neue Schwachstelle in Intel-Chips entdeckt, die dazu genutzt werden kann, vertrauliche Informationen direkt aus dem Prozessor zu stehlen. Die Forscher benannten sie "ZombieLoad". ZombieLoad ist ein Seitenkanalangriff, der auf Intel-Chips abzielt und es Hackern ermöglicht, eine Schwäche in deren Architektur auszunutzen, um beliebige Daten zu erhalten. Dabei ermöglicht es jedoch nicht, beliebigen bösartigen Code einzuschleusen oder auszuführen, sodass es als alleiniges Werkzeug zur Eindringung und zum Hacken von entfernten Computern unbrauchbar ist.

Wie Intel mitteilt, handelt es sich bei ZombieLoad um vier Fehler im Mikrokode ihrer Chips, über die die Forscher dem Unternehmen erst vor einem Monat berichteten. Betroffen sind praktisch alle Computer mit Intel-Chips, die seit 2011 hergestellt wurden. ARM- und AMD-Chips sind von dieser Schwachstelle nicht betroffen.
ZombieLoad erinnert an die früheren Meltdown- und Spectre-Sicherheitslücken, die eine Schwachstelle im System der spekulativen Ausführung von Befehlen ausnutzten. Die spekulative Ausführung hilft Prozessoren, vorherzusagen, welche Daten eine Anwendung oder das Betriebssystem in naher Zukunft benötigen könnten, wodurch die Leistung der Anwendungen verbessert wird. Der Prozessor gibt die Ergebnisse seiner Vorhersagen zurück, wenn diese korrekt sind, oder verwirft die Ausführung, wenn die Vorhersage falsch war. Sowohl Meltdown als auch Spectre nutzen diese Funktionalität aus, um direkten Zugriff auf Informationen zu erhalten, mit denen der Prozessor arbeitet.
ZombieLoad wird als „Zombie-Ladung“ übersetzt, was teilweise den Mechanismus der Schwachstelle erklärt. Bei einem Angriff wird dem Prozessor eine Datenmenge zugeführt, die er nicht ordnungsgemäß verarbeiten kann, was ihn dazu bringt, den Mikrokod um Hilfe zu bitten, um einen Absturz zu verhindern. Normalerweise können Anwendungen nur ihre eigenen Daten sehen, doch der Fehler, verursacht durch die Überlastung des Prozessors, ermöglicht es, dieses Limit zu umgehen. Forscher haben berichtet, dass ZombieLoad in der Lage ist, alle Daten zu erhalten, die von den Prozessorkernen verwendet werden. Intel erklärt, dass ein Mikrokod-Update hilft, die Prozessorpuffer bei Überlastung zu leeren und so zu verhindern, dass Anwendungen auf nicht für sie bestimmte Daten zugreifen.
In einer Videodemonstration der Schwachstelle zeigten die Forscher, dass sie verwendet werden kann, um in Echtzeit zu erfahren, welche Webseiten eine Person besucht. Aber sie lässt sich ebenso leicht nutzen, um beispielsweise Passwörter oder Zugangstoken zu stehlen, die Benutzer für Zahlungssysteme verwenden.
Ähnlich wie Meltdown und Spectre sind auch ZombieLoad nicht nur bei PCs und Laptops, sondern auch in Cloud-Umgebungen anfällig. Server. Eine Sicherheitsanfälligkeit kann auf virtuellen Maschinen ausgenutzt werden, die von anderen virtuellen Systemen und deren Host-Geräten isoliert sein sollten, um diese Isolation potenziell zu umgehen. So behauptet Daniel Gruss, einer der Forscher, die die Schwachstelle entdeckt haben, dass sie Daten aus Server-Prozessoren auslesen kann, ähnlich wie auf Personalcomputern. Dies stellt ein potenziell ernsthaftes Problem in Cloud-Umgebungen dar, in denen virtuelle Maschinen unterschiedlicher Kunden auf derselben Server-Hardware betrieben werden. Obwohl bisher keine öffentlichen Berichte über Angriffe mit ZombieLoad vorliegen, können die Forscher nicht ausschließen, dass solche tatsächlich stattgefunden haben, da Datenklausel nicht immer Spuren hinterlässt.
Was bedeutet das für den normalen Benutzer? Es besteht kein Grund zur Panik. Dies ist bei weitem kein Exploit oder eine Zero-Day-Sicherheitslücke, bei der ein Angreifer in Sekundenschnelle Ihren Computer übernehmen kann. Gruss erklärt, dass die Anwendung von ZombieLoad "einfacher als Spectre" ist, aber "schwieriger als Meltdown" – beides erfordert einen bestimmten Satz von Fähigkeiten und Anstrengungen, um in einem Angriff genutzt zu werden. Tatsächlich müssen Sie für einen Angriff mit ZombieLoad auf irgendeine Weise eine infizierte Anwendung herunterladen und selbst ausführen, damit die Sicherheitslücke dem Angreifer hilft, all Ihre Daten herunterzuladen. Dennoch gibt es weitaus einfachere Methoden, um einen Computer zu hacken und diese Daten zu stehlen.
Die Intel Corporation hat bereits Mikrocodes veröffentlicht, um die anfälligen Prozessoren zu reparieren, einschließlich der Intel Xeon, Intel Broadwell, Sandy Bridge, Skylake und Haswell, Intel Kaby Lake, Coffee Lake, Whiskey Lake und Cascade Lake sowie aller Atom- und Knights-Prozessoren. Auch andere große Unternehmen haben Sicherheitslösungen veröffentlicht. Apple, Microsoft und Google haben ebenfalls bereits entsprechende Patches für ihren Browser bereitgestellt.
In einem Interview mit TechCrunch gab Intel zu verstehen, dass Updates für die Mikrocode der Chips, ähnlich wie frühere Patches, die Leistung der Prozessoren beeinflussen werden. Ein Intel-Vertreter teilte mit, dass die meisten betroffenen Verbraucheranwendungen im schlimmsten Fall bis zu 3% an Leistung verlieren können, während Rechenzentren mit einem Verlust von bis zu 9% rechnen müssen. Intel ist jedoch der Meinung, dass dies in den meisten Anwendungsszenarien kaum bemerkbar sein wird.
Allerdings sind die Ingenieure von Apple mit Intel überhaupt nicht einverstanden, die auf über die Methode zur vollständigen Bekämpfung von "Microarchitectural Data Sampling" (offizieller Name ZombieLoad) behaupten, dass zur endgültigen Schließung der Sicherheitsanfälligkeit die Intel Hyper-Threading-Technologie in den Prozessoren komplett deaktiviert werden muss, was laut Tests von Apple-Spezialisten die Leistung von Endgeräten in bestimmten Aufgaben um bis zu 40% senken kann.
Weder Intel noch Daniel und sein Team haben den Code veröffentlicht, der die Schwachstelle implementiert. Daher besteht für den durchschnittlichen Nutzer keine direkte und unmittelbare Bedrohung. Die schnell veröffentlichten Patches beseitigen die Schwachstelle vollständig, jedoch gibt es aufgrund der damit verbundenen Leistungsverluste Bedenken gegenüber Intel.
Quelle: 3dnews.ru
