Mit ihren Angriffsmethoden namens „Meltdown“ und „Spectre“ haben Daniel Gruss, Moritz Lipp und Michael Schwarz von der TU-Graz bereits im Vorjahr auf zwei Schwachstellen von Mikroprozessoren hingewiesen und für weltweite Schlagzeilen gesorgt. Wenig verwunderlich – die damals entdeckten Sicherheitslecks hätten weltweit Milliarden Geräte vom Heimcomputer bis zum Smartphone treffen können. Erst ein Update („Kaiser-Patch“) bewahrte Nutzer davor, dass ihre Daten in Gefahr gerieten.

Gut ein Jahr später hat das Forscher-Trio (TU-Institut für angewandte Informationsverarbeitung und Kommunikationstechnologie) gemeinsam mit einem internationalen Team erneut zwei gravierende Lücken in der Architektur von Intel-Prozessoren aufgespürt. Die Namen diesmal: „ZombieLoad“ und „Store-to-Leak Forwarding“.

Aufgespürt

„ZombieLoad“ nutze einen ähnlichen Ansatz wie seinerzeit „Meltdown“: Computersysteme bereiten ja mehrere Arbeitsschritte parallel vor und verwerfen dann jene wieder, die entweder nicht gebraucht werden oder für die es keine notwendigen Zugriffsrechte gibt. „Aufgrund der Bauweise des Prozessors muss dieser immer Daten weitergeben. Der Check der Zugriffsrechte passiert aber erst, wenn bereits sensible Rechenschritte vorausgearbeitet wurden, die auf Annahmen des Computersystems beruhen. Im kurzen Moment zwischen Befehl und Check können wir mit der neuen Attacke die bereits geladenen Daten von anderen Programmen sehen“, erklärte Gruss der Kleinen Zeitung. Die Grazer IT-Experten konnten so bei ihren Angriffen im Klartext mitlesen, was gerade am Computer gemacht wurde.

Bei „Store-to-Leak Forwarding“ wird, vereinfacht dargestellt, der Umstand ausgenutzt, dass der Prozessor Daten zwischenzeitlich in einem Buffer behält. "Der Computer geht davon aus, dass ich Daten,
die ich gerade in den Prozessor geschrieben habe, auch gleich wieder
weiterverwenden möchte. Also behält er sie im Buffer, um schneller
darauf zugreifen zu können", wie Gruss erklärt. Sicherheitsangriffe
können von dieser Arbeitsweise profitieren, um die Architektur des
Computerprozessors auszuforschen und den genauen Ort zu finden, an
dem das Betriebssystem ausgeführt wird. "Wenn ich weiß, wo genau das
Betriebssystem vom Prozessor ausgeführt wird, dann kann ich gezielt
Angriffe auf Lücken im Betriebssystem starten", legt Gruss dar.

Ihre neuesten Entdeckungen meldeten die Informatiker sofort an den hauptbetroffenen Chiphersteller Intel: „Den ZombieLoad-Angriff sind wir ja erst im April gefahren“, so der TU-Forscher, „Intel kannte diese Methode noch nicht, suchte sofort nach einer Lösung.“

Updates notwendig

Dringender Appell von Gruss: „Computernutzer müssen sofort alle neuen Updates einspielen, damit ihre Computersysteme wieder sicher sind.“ Bereits in den letzten Tagen seien etwa diesbezüglich viele Windows-Updates gelaufen. „Auch betroffene Cloud-Betreiber haben reagiert und von Intel Sicherheitsupdates bekommen.“

Mit der bekannt gewordenen Sicherheitsschwachstelle des Chatdienstes WhatsApp, die die Installierung von Überwachungssoftware ermöglicht hat, haben die beiden entdeckten Angriffswege laut dem Experten nichts zu tun.