Intel Prozessoren: Der Schweizer Käse unter den CPUs

Gerade war bei Intel wieder etwas Ruhe nach den Prozessor-Sicherheitslücken Spectre und Meltdown eingekehrt, da tauchen die nächsten spannend betitelten Löcher in der CPU auf. ZombieLoad, wie es sich neuerdings gehört, mit eigener Webseite und Logo, sowie das etwas sperrige Store-to-Leak Forwarding. Die Lücken betreffen sowohl ältere als auch aktuelle Core-i und Xeon-CPUs. Beim Suchen und Finden waren wieder Forscher der Universitäten Graz und Leuven beteiligt, die schon Spectre entdeckt hatten. Intel selbst stuft die Lücken als Niedrig bis Mittel ein (CVE 3,8 bis 6,5).

Spectre und Meltdown verursachten zwar eine gewaltige Aufmerksamkeitswelle, im Endeffekt passierte danach aber wenig. Intel hat für einige Prozessoren Microcode-Updates veröffentlicht und ansonsten auf die schwierige Ausnutzbarkeit hingewiesen. Dass nun ähnliche Schwachstellen auftauchen, sind keine guten Nachtrichten, weder für den Hersteller noch für die Anwender. Immerhin folgten die Entdecker dem „Responsible Disclosure“-Modus, so dass Intel mit der ersten Veröffentlichung der Forschungsergebnisse Microcode-Fixes veröffentlichen konnte. Sie werden in diesen Tagen zusammen mit Patches der Betriebssystem- und Hypervisor-Herstellern wie Microsoft und VMware verteilt. Aktuelle Prozessoren (Whiskey Lake und Coffee Lake) sollen den Fehler nicht mehr ausweisen und bereits immun sein. Eine Website von Intel enthält Details über die betroffenen und bereits immunen CPUs.

Die jetzt bekannt gewordenen Schwachstellen sind wie Spectre und Meltdown Seitenkanal-Angriffe. Intel bezeichnet diese Form der Attacken als "Microarchitectural Data Sampling" (MDS). Mit einer für ZombieLoad geschriebenen Schadsoftware kann ein Angreifer Daten anderer Prozesse auslesen, selbst wenn diese in einer anderen virtuellen Maschinen laufen. Schadcode als auch Opferanwendung müssen dazu aber auf dem gleichen Prozessorkern laufen. Besonders gut funktioniert das bei aktiviertem Hyper-Threading weil dann Opfer und Aggressor mehr Ressourcen gemeinsam nutzen. Wie auch bei den älteren Lücken ist die spekulative Ausführung von Befehlen das Problem. Die Attacke baut darauf, dass ein Prozess Daten einliest, sie aber verwirft, weil ein Ereignis einen anderen Befehlspfad nötig macht. In der Zeit bis die Daten tatsächlich aus den Pufferspeichern verschwunden sind, ist der Zugriff unter bestimmten Umständen möglich, auch von einem anderen Prozess, der auf demselben CPU-Kern läuft.

Der Angriff ist nicht deterministisch: Man kann nicht nach bestimmten Daten suchen, sondern nur wahllos alles abgreifen, was in den Pufferspeichern des CPU-Kerns abgelegt wird. Das ist aber, ausreichend lange Beobachtungszeit vorausgesetzt, brisant. Mögliche Beutestücke sind Passwörter und Browserverläufe ebenso wie die Schlüssel von Crypto-Anwendungen. Ein Video zeigt, wie ZombieLoad einen Tor Browser auf einem, eigentlich als sehr sicher geltenden Linux Tails, belauscht. Nach Angaben der Forscher sind übrigens nur Intel-Prozessoren betroffen, auf AMD-Hardware ließ sich der Angriff nicht reproduzieren.

Auch wenn Intel offiziell den Standpunkt vertritt, dass die betroffenen Prozessoren entweder bereits ohne Schwachstelle gefertigt oder über Microcode immunisiert werden, bleiben Zweifel am Umfang des Schutzes. Die Sicherheitsforscher sind der Ansicht, dass die Fixes nicht ausreichen und Kernel- und User-Space durch Software isoliert werden müssen. Das geht, führt aber wie schon bei Spectre und Meltdown zu Leistungseinbußen. Wie hoch diese für unterschiedliche Workloads ausfallen, werden erst die nächsten Wochen zeigen.

Die aktuellen Forschungsergebnisse lassen sich auf zwei Arten interpretieren. Einmal, ganz positiv, zeigen sie, dass Schwachstellen durch eine verantwortungsvolle Zusammenarbeit zwischen Entdeckern und Hersteller schnell und (vermutlich) umfassend behoben werden können. Zum anderen sieht man – schon wieder – die Auswirkungen vom Quasi-Monopol Intel. Im Servermarkt liegt der Marktanteil bei aktuell 93 Prozent. Wer Server nutzt, nutzt einen Prozessor mit Schwachstellen. Monokulturen sind anfällig, in der Natur genauso wie im Rechenzentrum. Wenn im Rahmen der zunehmenden Verlagerung auf Edge-Computing und IoT andere Prozessorarchitekturen eine größere Scheibe vom Markt abschneiden könnten, wäre das für Intel verkraftbar und für die Anwender ein Plus an Sicherheit.