Milliarden von Computerprozessoren sind von schwerwiegenden Sicherheitslücken betroffen. (Symbolbild)
Dmytro Titov / Fotolia
Unzählige Central Processing Units (CPUs), die Hauptprozessoren von Computern, haben Sicherheitslücken. Das geht aus Veröffentlichungen von Forschern des Google Project Zero (GPZ) und verschiedener internationaler Universitäten und IT-Unternehmen hervor. Das GPZ hat in seinem Blog einen Beitrag veröffentlicht, wonach die Informatik-Spezialisten mit zwei Angriffsvarianten insgesamt drei kritische Schwachstellen in modernen Prozessoren ausnutzen können. Diese Hardwarefehler ermöglichen es Schadprogrammen, Daten abzugreifen, die gerade auf einem Computer verarbeitet werden. Milliarden von Geräten mit Computerchips sind betroffen – unabhängig vom Betriebssystem.
Die Ausmaße des Problems sind enorm. Denn mit Sicherheitupdates von Software ist es nicht getan. Was genau die Lücken sind und warum sie nicht einfach zu schließen sind, erklären die Forscher in ihren umfassenden Papieren zum Projekt.
"Während es Programmen normalerweise nicht möglich ist, Daten von anderen Programmen auszulesen, kann ein Schadprogramm [die Angriffsmethoden] Meltdown und Spectre ausnutzen, um an geschützte Daten zu gelangen, die im Speicher anderer laufender Programme gespeichert sind. Dazu gehören Passwörter, die in einem Passwort-Manager oder Browser gespeichert sind, persönliche Fotos, E-Mails, Sofortnachrichten und sogar geschäftskritische Dokumente", heißt es auf einer von den Forschern bereitgestellten Internetseite mit den ausführlichen Berichten zu den beiden Angriffsmöglichkeiten.
Meltdown und Spectre funktionieren demnach auf PCs, mobilen Geräten und in der Cloud. Je nach Infrastruktur des Cloud-Providers ist es möglich, Daten von anderen Kunden in der Cloud zu stehlen.
Wie funktioniert Meltdown?
Die Sicherheit von heutigen Computersystemen hängt grundsätzlich von der Speicherisolierung ab. Zum Beispiel werden Adressbereiche des Betriebssystem-Kerns ("Kernel") als nicht zugreifbar markiert und vor dem Zugriff durch den Benutzer geschützt. Meltdown nutzt nun die Nebeneffekte der so genannten Out-of-Order Execution (etwa Aus-der-Reihe-Ausführung) auf modernen Prozessoren aus, "um beliebige Kernel-Speicherorte einschließlich persönlicher Daten und Passwörter zu lesen", heißt es in dem Forschungspapier. Die Out-of-Order Execution ermöglicht es einem Prozessor, Rechenoperationen in anderer Reihenfolge als im Programmcode vorgesehen, auszuführen. Dadurch ist eine bessere Auslastung der Rechenleistung möglich. Sie "ist ein unverzichtbares Leistungsmerkmal und wird in einer Vielzahl moderner Prozessoren eingesetzt", schreiben die Forscher. "Meltdown durchbricht alle Sicherheitsannahmen, die durch Adressraumisolation sowie paravirtualisierte Umgebungen gegeben sind und damit jeden Sicherheitsmechanismus, der auf diesem Fundament aufbaut", steht in der Abhandlung. "Der Angriff ist Betriebssystem-unabhängig und beruht nicht auf Software-Schwachstellen."
Auf betroffenen Systemen ermöglicht Meltdown einem Angreifer, Speicher anderer Prozesse oder virtueller Maschinen in der Cloud ohne Berechtigungen oder Privilegien zu lesen, was Millionen von Kunden und praktisch jeden Benutzer eines PCs betrifft."
Moritz Lipp, Michael Schwarz, Daniel Gruss, Thomas Prescher, Werner Haas, Stefan Mangard, Paul Kocher, Daniel Genkin, Yuval Yarom und Mike Hamburg im Beitrag zu "Meltdown".
Meltdown wurde bislang nur für Chips des Herstellers Intel nachgewiesen.
Wie funktioniert Spectre?
Spectre nutzt derweil aus, dass Prozessoren Branch Prediction (Sprungvorhersagen) und Speculative Execution (spekulative Ausführung) zur optimierung der Rechenleistung verwenden. Wenn zum Beispiel das Ziel einer Verzweigung im Programmcode (ein so genannter Sprung) von einem Speicherwert abhängt, der gerade gelesen wird, versuchen die CPUs, das Ziel zu erraten und es vorab auszuführen.
| Begriffserklärung Spekulation (Informatik): |
| Mutmaßung über den künftigen Verlauf eines Vorgangs; mit spekulativen Mechanismen wird die Niederlast gewisser Komponenten dazu benutzt, einen Zustand bereitzustellen, der eine große Eintreffenswahrscheinlichkeit hat, was sich somit dann vorteilhaft auf die Performanz auswirkt; tritt das Ereignis nicht ein, kann der Zustand ohne Leistungsverlust verworfen werden; |
| Quelle: Lexikon der Informatik |
Ist eine CPU nicht voll ausgelastet, spekuliert der Chip also, welche Informationen demnächst benötigt werden könnten und ruft diese mit seiner noch freien Rechenleistung bereits im Vorfeld ab, um Verzögerungen beispielsweise bei einem Programmstart auf einem Rechner zu vermeiden. "Speculative Execution" wird seit langem auf Computerchips unterschiedlicher Hersteller angewendet.
"Bei Spectre-Angriffen wird ein Rechner vom Angreifer zu spekulativen Operationen veranlasst, die während der korrekten Programmausführung nicht stattfinden würden", heißt es im Spectre-Papier. Darüber lassen sich dann vertrauliche Informationen aus Programmen über einen Seitenkanal an den Gegner weiterleiten. Mit einer Kombination von Side-Channel Attacks, Fault Attacks und Return-Oriented Programming können von Angreifern beliebige Daten aus dem Speicher des angegriffenen Rechners gelesen werden. Solche Implementierungen von Speculative Executions umgehen zudem grundlegende Annahmen zur Funktion von Sicherheitsmechanismen von Software, "einschließlich der Trennung von Betriebssystemprozessen, statischer Analyse, Containerisierung, Just-in-Time-(JIT)-Compilation und Gegenmaßnahmen gegen Cache-Timing/Side-Channel-Angriffe."
Diese Angriffe stellen eine ernstzunehmende Bedrohung für aktuelle Systeme dar, da Möglichkeiten für Speculative Execution in Mikroprozessoren von Intel, AMD und ARM gefunden wurden, die in Milliarden von Geräten verwendet werden."
Paul Kocher, Daniel Genkin, Daniel Gruss, Werner Haas, Mike Hamburg, Moritz Lipp, Stefan Mangard, Thomas Prescher, Michael Schwarz und Yuval Yarom im Beitrag zu "Spectre".
Was ist das größte Problem?
Meltdown und Spectre verändern den Forschern zufolge grundlegend die Sichtweise auf Sicherheit von Computern. Denn beide Angriffe nutzen eine Hardware-Schwachstelle aus, die nur bedingt über Software-Maßnahmen behoben werden kann. Eine grundlegende Sicherheitsannahme in der Informationstechnik ist nämlich, dass eine CPU die Software einschließlich ihrer Sicherheitsüberprüfungen zuverlässig ausführt. Spectre nutzt aber Speculative Execution aus und macht diese Annahme obsolet. Und Meltdown verändert die Möglichkeit von bisher bekannten Angriffen auf den Cache-Speicher eines Rechners: Bisher war bekannt, dass Angreifer nur kleine Teile des Speichers auslesen konnten, mit Meltdown lässt sich jedes einzelne Bit beliebig lesen. Keine Verschlüsselung kann den Forschern zufolge davor schützen.
Was sind die möglichen Ziele für Angreifer?
Derzeit sind die veröffentlichten Angriffsszenarien zwar vor allem theoretisch und wurden unter Laborbedingungen von Spezialisten erarbeitet, die sich lange intensiv mit den Abläufen auf Prozessoren beschäftigen konnten. Die Angriffe sind auch in jedem Fall aufwendig in der Durchführung. Doch gerade weil auch Software-Updates keinen sicheren Schutz bieten, scheinen solche Angriffe über die Prozessorstruktur vor allem für "große" Ziele lohnenswert: Cloud-Dienste mit sensiblen Kundendaten, Geräte im (Industrial) Internet of Things, Unternehmensrechner, militärische und staatliche Informationstechnik. Ob die Schwachstellen schon beispielsweise zur (Industrie-)Spionage oder für andere kriminelle Aktivitäten genutzt wurden, ist unbekannt. Wie die Forschungen zeigten, lassen sich solche Attacken über die CPU nicht mit herkömmlichen Log-Dateien aufzeichnen und so derzeit noch nicht nachweisen. Angriffe sind den Erkenntnissen zufolge primär über das jeweilige Gerät möglich, wenn Angreifer Code direkt auf der CPU ausführen können. Aber auch netzwerkbasierte Angriffe sind denkbar.
Wie können sich Nutzer und Unternehmen schützen?
Milliarden von Geräten, egal ob PCs, Smartphones, vernetzte Industrieanlagen oder andere Geräte mit Mikroprozessoren sind von den Sicherheitslücken betroffen. Gegen die Varianten Spectre und Meltdown werden unterschiedliche Abwehrmechanismen benötigt. Es existieren kurzfristig softwarebasierte Gegenmaßnahmen, die beispielsweise Hersteller von Betriebssystemen durch Sicherheits-Updates (Patches) implementieren. Daher ist vor allem die Aktualisierung von Betriebssystemen und Software auf die neuesten Patch-Versionen notwendig. Gegen Meltdown hilft beispielsweise eine softwarebasierte Gegenmaßnahme (Kernel Page-Table Isolation, KPTI, vormals KAISER), die ursprünglich zum Schutz vor Side-Channel-Angriffen gegen Kernel Address Space Layout Randomization (KASLR) vorgesehen war. Das sei "ein kurzfristiger Software-Fix, aber das Problem, das wir aufgedeckt haben, ist viel bedeutender", schreiben die Meltdown-Forscher. Spectre lässt sich kurzfristig durch Gegenmaßnahmen auch verhindern, doch sehen die Forscher keine Möglichkeit, neue Codestrukturen auszuschließen, die die Sicherheitslücken der CPUs wieder aufbrechen könnten.
Langfristige Lösungen erfordern, dass Befehlssatzarchitekturen aktualisiert werden, um eine klare Richtlinie über die Sicherheitseigenschaften des Prozessors zu schaffen, und CPU-Implementierungen müssen entsprechend aktualisiert werden. Generell gibt es Zielkonflikte zwischen Sicherheit und Leistung. Die Schwachstellen [...] ergeben sich aus einem langjährigen Fokus in der Technologiebranche auf die Maximierung der Leistung. Daher haben sich bei Prozessoren, Compiler, Gerätetreibern, Betriebssystemen und zahlreichen anderen kritischen Komponenten komplexe Optimierungsschichten entwickelt, die Sicherheitsrisiken bergen. Da die Kosten für Risiken in der IT steigen, müssen diese Designentscheidungen überprüft werden, und in vielen Fällen sind alternative Implementierungen erforderlich, die für Sicherheit optimiert sind."
Paul Kocher, Daniel Genkin, Daniel Gruss, Werner Haas, Mike Hamburg, Moritz Lipp, Stefan Mangard, Thomas Prescher, Michael Schwarz und Yuval Yarom im Beitrag zu "Spectre".
Zur wirklichen Lösung des Sicherheitsproblems müssen die Prozessordesigns durch die Hersteller also neu gedacht werden. "Die Sicherheit von Software hängt im Wesentlichen davon ab, dass Hardware- und Softwareentwickler ein klares, gemeinsames Verständnis darüber haben, welche Informationen CPU-Implementierungen von Berechnungen offenlegen dürfen (und welche nicht)", schreiben die Spectre-Forscher. Und das Meltdown-Team ergänzt: "Wir erwarten, dass Meltdown und Spectre ein neues Forschungsfeld eröffnen, um zu untersuchen, inwieweit Leistungsoptimierungen das mikroarchitektonische Stadium verändern, wie das ins architektonischen Stadium übertragen werden kann und wie solche Angriffe verhindert werden können."
Was tun die Chiphersteller?
Die Schwachstellen sind den Prozessorherstellern seit Mitte 2017 bekannt. Zu diesem Zeitpunkt hatten die Forscher die Unternehmen informiert und ins Boot geholt. Seitdem arbeiten die Hersteller nach Angaben der Forscher an Lösungen.
Für die meisten jüngeren Prozessoren sind kurz nach der Veröffentlichung der Schwachstellen Firmware-Updates und Software-Patches veröffentlicht worden. Weitere Updates werden folgen, kündigte beispielsweise Intel an. Darüber hinaus haben viele Anbieter von Betriebssystemen, Anbieter von Public Cloud Services oder Gerätehersteller angegeben, dass sie ihre Produkte und Dienstleistungen bereits über Updates auf den neuesten stand gebracht haben. Die Befürchtung, Updates könnten sich negativ auf die Leistung der Prozessoren auswirken, will Intel in Tests mit großen Kunden widerlegt haben. In der Regel sollten die Updates keine spürbaren Auswirkungen auf die Rechnerleistung haben.
Keiner der Hersteller hat sich bislang jedoch zum Grundsatzproblem der Prozessorarchitektur geäußert. Ankündigungen, eine Überarbeitung des Prozessordesigns in Betracht zu ziehen, fehlen völlig.