Bitdefender und weitere Forscher machen gravierende Schwachstelle bekannt
Neue Angriffsart zielt auf Intel-CPUs
Sicherheitsforscher warnen vor LVI-LFB (Load Value Injection in the Line Fill Buffers), einem neuartigen Angriff auf Intels CPU-Architektur. Laut Angaben des rumänischen Security-Spezialisten Bitdefender sind von der Schwachstelle CVE-2020-0551 alle Intel-CPUs seit 2012 betroffen, einschließlich der neuesten Produktgeneration. Das Ausnutzen der Schwachstelle sei aber aufwendig und teuer.
Bitdefender hat nach eigenen Angaben einen synthetischen Proof of Concept entwickelt, der die Durchführbarkeit des neuen Mikroarchitektur-Seitenkanal-Angriffs demonstriert (das Bitdefender-Whitepaper zum Thema spricht von "microwarchitectional side-channel attacks", mit "w" in "microarchitectural" - offenbar ein Tippfehler, aber zugleich im Englischen eine interessante Wortneuschöpfung). Bestehende Maßnahmen zur Milderung früherer Angriffe wie Meltdown und Spectre reichen laut den Forschern nicht aus, um die neue Schwachstelle vollständig zu beheben.
Wie zuvor schon Spectre und Meltdown, so nutzt auch LVI-LFB Lücken in der Architektur moderner CPUs, genauer bei der spekulativen Ausführung von Befehlen (Speculative Execution), wie Liviu Arsene, Global Cybersecurity Researcher bei Bitdefender, im Gespräch mit LANline erläuterte. Dabei führt die CPU im Hintergrund Befehle aus, die als nächstes gebraucht werden könnten, um die Abarbeitung von Aufgaben zu beschleunigen. Reste verworfener Befehlsausführungsoptionen lassen sich aufgrund der Spectre-Schwachstelle durch einen Seitenkanalangriff auf den virtuellen Speicher auslesen. Mehrere Forschergruppen entdeckten die Schwachstelle - ebenso wie die verwandte "Out of Order Execution"-Schwachstelle Meltdown - Anfang 2018.
Auf Spectre und Meltdown folgte 2019 die Entdeckung einer weiteren Klasse von Mikroarchitektur-Seitenkanal-Angriffen: MDS (Microarchitectural Data Sampling). Sie erlaubt es Angreifern, Daten während der Übertragung aus verschiedenen Mikroarchitektur-Datenstrukturen (Line Fill Buffers und anderen) abzuziehen. LVI-LFB arbeitet aber auf andere Weise, so Arsene: Ein Angreifer injiziert eigene Daten in den LFB, die das Opfer dann nutzt. Dies kann dazu führen, dass die CPU geschützte Daten ungewollt preisgibt, so Arsene. Moderne CPUs haben laut dem Forscher Mechanismen, um die Ausführung offensichtlich falscher Befehle zu unterbinden, dann sei allerdings der Schaden bereits entstanden. Der Angreifer könne den Vorgang zudem beliebig oft wiederholen.
Besonders schädlich ist die neue Angriffsart laut dem Bitdefender-Experten im Kontext von Multi-Tenant-Umgebungen, also zum Beispiel in Hosting- oder Cloud-Rechenzentren, bei denen sich mehrere Organisationen die gleiche Hardware teilen. Her könne ein weniger privilegierter Prozess unter der Kontrolle des Angreifers die Kontrolle über einen höher privilegierten Prozess übernehmen. Diese ebne den Weg für den Diebstahl interner Daten, die eigentlich durch die Sicherheitsmechanismen auf Hardware-, Betriebssystem- oder Hypervisor-Ebene isoliert sein sollten.
LVI-LFB ist laut Liviu Arsene in Intel-Umgebungen eine "sehr kritsche Schwachstelle". Sie in einer Multi-Tenant-Umgebung auszunutzen sei allerdings "ein sehr kostenintensiver Angriff": Der Angreifer müsste zunächst die physische Maschine oder zumindest das physische Rechenzentrum seines Opfers kennen. Dann müsste er in schneller Folge zahlreiche VMs erstellen, um von dort aus per Trial and Error zu versuchen, auf die Zielmaschine zu gelangen - sofern die gewünschten Informationen überhaupt auf einer Shared-Plattform liegen. Wie schon bei Spectre und Meltdown, so Arsene, sei deshalb davon auszugehen, dass nur technisch sehr versierte und finanziell sehr gut ausgestattete Angreifergruppen diese Schwachstelle ausnutzen werden. Anders formuliert: LIV-LFB ist somit im Wesentlichen ein weiterer Pfeil im Köcher der sogenannten "regierungsnahen Organisationen".
Der Security-Anbieter nennt mehrere Optionen für Abwehrmaßnahmen: erstens Korrekturmaßnahmen auf Hardware-Ebene (hier ist also Intel gefordert); zweitens Patches innerhalb der Software, als Beispiel nennt Bitdefender KPTI (Kernel Page Table Isolation, Schutz des Kernel-Speichers in einem isolierten virtuellen Adressraum) - LVI-LFB erfordere allerdings einen neuen Typ von KPTI; drittens Microcode, den der Hardwarehersteller den OS- oder Hypervisor-Anbietern zur Mitigation bereitstellt; und viertens schließlich das Deaktivieren von Hyperthreading.
Bitdefender hat die Sicherheitslücke laut eigenen Angaben am 10. Februar an Intel gemeldet. Andere Forscher - Jo Van Bulck, Daniel Moghimi, Michael Schwarz, Moritz Lipp, Marina Minkin, Daniel Genkin, Yuval Yarom, Berk Sunar, Daniel Gruss und Frank Piessens - hatten den Konzern jedoch schon im April 2019 auf den Angriffsweg hingewiesen. In einer koordinierten Offenlegung wurde die Sicherheitslücke nun unter der Kennung Code CVE-2020-0551 veröffentlicht. Es ist laut Bitdefender-Mann Arsene damit zu rechnen, dass die Betriebssystem- und Hypervisor-Anbieter in den kommenden Wochen und Monaten Patches herausbringen werden. Als Sofortmaßnahme für sicherheitskritische Systeme empfiehlt Arsene, das Hyperthreading zu deaktivieren - trotz der damit verbundenen Performance-Einbußen.
Das erwähnte Whitepaper von Bitdefender ist kostenlos erhältlich unter businessresources.bitdefender.com/hubfs/Bitdefender_Whitepaper_LVI-LFB_EN.pdf. Intel hat ebenfalls ein Whitepaper zum Thema veröffentlicht: software.intel.com/security-software-guidance/insights/deep-dive-load-value-injection.
Lesen Sie mehr zum Thema
