LVI: Die nächste Sicherheitslücke in CPUs von Intel

Meldung von doelf, Donnerstag der 12.03.2020, 09:45:29 Uhr

Forscher unter Leitung der KU Leuven haben einen weiteren Angriff auf Prozessoren des Herstellers Intel offengelegt: LVI, die Load Value Injection (Ladewertinjektion). LVI (CVE-2020-0551, Intel-SA-00334) stellt das Konzept der bekannten Meltdown-Attacken sozusagen auf den Kopf, denn hier wird kein Datenleck provoziert, sondern einer Zielapplikation gezielt Daten untergeschoben. Dies gefährdet insbesondere Intels Sicherheitserweiterung SGX (Software Guard eXtensions).

Wie LVI funktioniert
2018 hatten Spectre und Meltdown gezeigt, dass die Sicherheitsarchitektur modernen Prozessoren massive Mängel aufweist und Angreifer geschützte Daten über eine Beeinflussung der Sprungvorhersage mit anschließenden Seitenkanalangriffe auslesen können. Es folgten diverse Meltdown-Variationen wie Foreshadow, ZombieLoad, RIDL und Fallout, welche an unterschiedlichen Zwischenspeichern der CPU-Architekturen ansetzten. Die Load Value Injection (LVI) präsentiert sich nun als eine Chimäre aus Spectre und Meltdown: Zunächst vergiftet der Angreifer einen Zwischenspeicher mit eigenen Werten, dann bringt er die Zielanwendung dazu, diese Daten zu laden. Die Applikation arbeitet vorübergehend mit diesen vom Angreifer gesteuerten Daten, dann bemerkt der Prozessor den Fehler und kehrt zum Zustand vor der Injektion zurück. Im kurzen Zeitraum dazwischen besteht allerdings die Möglichkeit, geschützte Daten über Seitenkanalangriffe abzugreifen. Dies funktioniert auch bei SGX-geschützten Speicherbereichen, den sogenannten Enklaven. Intel hatte die Software Guard eXtensions (SGX) im Jahr 2015 mit der Skylake-Architektur eingeführt, um besonders kritische Anwendungen abzukapseln.

Neue Schutzmaßnahmen kosten sehr viel Leistung
Alle bisher getroffenen Maßnahmen gegen Spectre, Meltdown und deren Ableger bleiben bei LVI wirkungslos, wie Proof-of-Concept-Code der Sicherheitsforscher am Beispiel von SGX-geschützten Anwendungen belegt. Da sich dieser Angriff praktisch auf alle Speicherzugriffe anwenden lässt, fallen Gegenmaßnahmen besonders schwer. Die Entdecker der Sicherheitslücke halten Hardware-Nachbesserungen für ausgeschlossen, womit als einzige Lösung Anpassungen in der Software bleiben. Um LVI völlig auszuschließen, müsste jeder Lesezugriff über LFENCE abgesichert werden. Damit würde zwar sichergestellt, dass die verarbeiteten Daten gültig sind, doch diese Serialisierung der Prozessor-Pipeline kostet viel Leistung. Zudem müsste man einige häufig genutzte Befehle wie x86-Ret auf eine schwarze Liste setzen. Eine vollständige Abhilfe auf Compiler- und Assembler-Ebene plant Intel daher nur für den besonders sensiblen SGX-Bereich. Die Wissenschaftler aus Leuven konnten Intels Maßnahmen bereits prüfen und vermelden für SGX eine massive Verlängerung der Verarbeitungszeit um das 2- bis 19-Fache. Dabei ist zu berücksichtigen, dass Intel fast ein Jahr Zeit hatte, um Gegenmaßnahmen zu entwickeln.

Fast ein Jahr Vorwarnzeit
Das internationale Forscherteam (KU Leuven: Jo Van Bulck, Frank Piessens; Worcester Polytechnic Institute: Daniel Moghimi, Berk Sunar; TU Graz: Michael Schwarz, Moritz Lipp, Daniel Gruss; University of Michigan: Marina Minkin, Daniel Genkin; University of Adelaide: Yuval Yarom) hatte Intel am 4. April 2019 über LVI informiert. Auch ARM und IBM wurden unterrichtet, da sich der Angriff zumindest teilweise auch auf deren Architekturen übertragen ließe. AMD scheint außen vor zu sein, da dort bei Ladefehlern erst gar keine Folgedaten erzeugt werden. Ähnlich soll auch ARM bei einigen seiner Architekturen vorgehen. Um Gegenmaßnahmen ergreifen zu können, erbat sich Intel Stillschweigen bis zum 10. März 2020. Diese lange Frist liegt vermutlich darin begründet, dass Anfang 2018 ein halbes Jahr nicht ausgereicht hatte, um ausgereifte Maßnahmen gegen Spectre und Meltdown präsentieren zu können. Intel selbst spricht bezüglich LVI von einem mittelschweren Problem und beziffert die CVSS-Base-Score auf 5,6. Entwickler sollen das SGX-SDK auf die Version 2.7.100.2 oder höher für Windows bzw. 2.9.100.2 oder höher für Linux aktualisieren.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]