Full Steam Ahead

MDS-Angriffe - Die neuen CPU-Sicherheitslücken im Überblick ‐ Seite 2/2

veröffentlicht von doelf am 16.05.2019

Intel dokumentiert vier neue Sicherheitslücken

Am 14. Mai 2019 fiel dann die Sperrfrist für vier weitere Angriffsvarianten, welche Intel in der Sicherheitsmitteilung INTEL-SA-00233 zusammengefasst hat. Sie tragen den Oberbegriff Micro-Architecture Data Sampling (MDS) und abermals handelt es sich um Seitenkanalangriffe auf die spekulative Ausführung, über die der Angreifer an geschützte Daten gelangen kann. Dies soll laut Intel aber nur angemeldeten Benutzern mit lokalem Zugriff möglich sein, weshalb die CVSS-Wertungen mit 6,5 von 10,0 Punkten (CVE-2018-12126, CVE-2018-12130, CVE-2018-12127) nur in einen mittleren Schweregrad fallen. Im Fall von CVE-2019-11091 ist die Gefahr mit 3,8 Punkten sogar nur als gering einzuschätzen. Intel hat bereits passende Microcode-Updates veröffentlicht und die Übersicht der abgesicherten CPUs aktualisiert.

Die vier MDS-Angriffe erinnern an Meltdown und funktionieren nach bisherigen Erkenntnissen ausschließlich bei CPUs von Intel. In ersten Stellungnahmen schließen AMD, ARM und IBM entsprechende Sicherheitsprobleme für ihre Prozessoren aus. Intel gibt an, die neuen Schwachstellen intern entdeckt zu haben. Unabhängig davon wurden diese Fehler aber auch von externen Sicherheitsforschern gefunden und analysiert. Die Wissenschaftler haben ihre Erkenntnisse in Absprache mit Intel unter der Domain cpu.fail veröffentlicht und die neuen Angriffe auf die Namen ZombieLoad, Fallout und RIDL (Rogue In-Flight Data Load) getauft. Weil das aber alles zu übersichtlich ist, bezeichnet Bitdefender Intels "Microarchitectural Fill Buffer Data Sampling" (MFBDS) aka "ZombieLoad" lieber als "Yet Another Meltdown" (YAM). Hier eine Übersicht der MDS-Angriffe samt Namenszuordnung und CVE-Kennung:

  • Microarchitectural Store Buffer Data Sampling (MSBDS) - auch bekannt als Fallout (CVE-2018-12126)
  • Microarchitectural Fill Buffer Data Sampling (MFBDS) - auch bekannt als ZombieLoad und YAM (CVE-2018-12130)
  • Microarchitectural Load Port Data Sampling (MLPDS) - auch bekannt als RIDL (CVE-2018-12127)
  • Microarchitectural Data Sampling Uncacheable Memory (MDSUM) - auch bekannt als RIDL (CVE-2018-11091)

Microsoft sichert Windows ab und rät zum Deaktivieren von Hyper-Threading

Ebenfalls seit dem 14. Mai 2019 gibt es diesbezüglich Sicherheitsempfehlungen von Microsoft. Die Redmonder haben bereits Anpassungen in Windows integriert und liefern diese zusammen mit den Mai-2019-Updates aus. Damit diese Software-Änderungen funktionieren, muss für betroffene Prozessoren allerdings auch das passende Microcode-Update hinterlegt werden. Die passenden Microcode-Pakete für Windows 10 bekommt man über Microsofts Update-Katalog. Sie decken die Core-i-Generationen 3 und 4 (Ivy Bridge, Haswell) sowie 6 bis 9 (Skylake, Kaby Lake, Amber Lake, Whiskey Lake, Coffee Lake) und einige Atom-Abkömmlinge (Apollo Lake, Gemini Lake) ab. Zugleich warnt Microsoft vor Leistungseinbußen und rät für einen "vollständigen Schutz" zum Abschalten von Hyper-Threading.

Diese Maßnahme klingt zunächst extrem, doch unter bestimmten Umständen wird man kaum um sie herumkommen. Mit ZombieLoad können die Nutzer virtueller Maschinen nämlich auch andere virtuelle Rechner sowie den Host belauschen sowie spezielle Schutzmechanismen wie Intels "Software Guard eXtensions" (SGX) umgehen, sofern deren Prozesse auf dem selben CPU-Kern laufen. Abhilfe schafft nur ein Verzicht auf Hyper-Threading und eine klare Zuweisung der CPU-Kerne. Zumindest Cloud-Anbieter werden hier keine andere Wahl haben und müssen in den sauren Apfel beißen. Mit Fallout lässt sich die Adresswürfelung (ASLR) umschiffen, wobei dies bei Intels Coffee Lake R dank erster Sicherheitskorrekturen sogar weit besser gelingt als auf älteren CPUs. RIDL ignoriert derweil alle zuvor implementierten Gegenmaßnahmen und lässt sich nach Angaben seiner Entdecker nur sehr schwer und unter großen Leistungseinbußen bekämpfen.

Linux mit neuen Schutz-Schaltern

Intel hatte diesmal nicht nur Microsoft, sondern auch die Linux-Entwickler rechtzeitig informiert, so dass kurz nach Bekanntgabe der MDS-Angriffe die abgesicherten Kernel-Versionen 5.1.2, 5.0.16, 4.19.43, 4.14.119 und 4.9.176 verfügbar waren. Dennoch hat die Zeit nicht gereicht, um die neuen Kernel auch die üblichen Tests durchlaufen zu lassen. Es kann also durchaus noch zu Problemen kommen. Die Korrekturen, welche die großen Distributionen bereits übernommen haben, funktionieren auch unter Linux nur im Zusammenspiel mit den neuen Microcode-Updates. Der MDS-Schutz kann über den neuen Kernel-Parameter "mds" gesteuert werden: "full" aktiviert den vollen Schutz und deaktiviert Hyper-Threading (SMT), "off" schaltet den Schutz komplett aus. Ebenfalls neu hinzugekommen ist der Parameter "mitigations", welcher sämtliche Schutzmaßnahmen steuert. Hierbei sorgt "auto" für den bestmöglichen Schutz bei aktiviertem SMT, während "auto,nosmt" alles absichert und dafür Hyper-Threading lahmlegt. Mit "off" bekommt man auf Kosten der Sicherheit die höchste Leistung.

Apple hat macOS abgesichert

Apple hat sich mit macOS Mojave 10.14.5 ebenfalls um das Problem gekümmert. Für macOS High Sierra 10.13 wurde das Sicherheits-Update 2019-003 bereitgestellt und macOS Sierra 10.12 lässt sich mit dem Sicherheits-Update 2019-003 härten. Zusätzliche Schutzmaßnahmen im Webbrowser Safari bleiben dabei Mojave vorbehalten und für die CPUs einiger Macs wird Intel keine Microcode-Updates mehr entwickeln. Betroffen sind die Modelle MacBook (13 Zoll, Ende 2009 und Mitte 2010), MacBook Air (11 und 13 Zoll, Ende 2010), MacBook Pro (13, 15 und 17 Zoll, Mitte 2010), iMac (21,5 und 27 Zoll, Ende 2009 und Mitte 2010), Mac mini (Mitte 2010) und Mac Pro (Ende 2010). Apple hat nicht den vollen Schutz aktiviert, da man hierfür auf Hyper-Threading verzichten muss. Wie man den vollen Schutz manuell einrichtet, erklärt Apple im Rahmen einer kurzen Anleitung.

Fazit und Empfehlungen

Spectre, Meltdown und es ist weiterhin kein Ende in Sicht. Knapp zwei Jahre nachdem Intel und seine Mitbewerber von Sicherheitsforschern über die Schwachstellen ihrer CPU-Architekturen informiert wurden, findet sich nach wie vor kein einziger, vollständig abgesicherter Prozessor im Handel. Schlimmer noch: Das Beispiel Fallout (CVE-2018-12126) zeigt, dass die ersten Schutzmaßnahmen neue Baustellen aufgerissen haben, denn die Angriffe auf die Adresswürfelung funktionieren beim überarbeiteten Coffee Lake R besonders gut. Nur eines klappt inzwischen besser: Die Veröffentlichung neuer Sicherheitsprobleme findet tatsächlich koordiniert statt, so dass die Updates für Microcode und Betriebssysteme wirklich zeitgleich verfügbar sind. Damit konnte zumindest eine Wiederholung des Chaos von Anfang 2018 vermieden werden.

Für den Nutzer ändert sich derweil nichts: Wer auf höchste Sicherheit wert legt, spielt die Updates ein und muss mit teils gravierenden Leistungsdefiziten leben. Dies gilt insbesondere, wenn man auf Hyper-Threading verzichtet und damit die Zahl der logischen Kerne halbiert. Wenn die Leistung an erster Stelle steht, lässt man die Microcode-Updates links liegen und macht weiter wie bisher. Da es noch keine breit angelegten Angriffe auf Spectre, Meltdown und ihre Ableger gegeben hat, ist das Risiko überschaubar. Zudem müssten die Angreifer zunächst einen Weg finden, um Code im Rechtekontext eines lokalen Benutzers ausführen zu können. Wer einen Cloud-Server betreibt oder mit hochsensiblen Daten arbeitet, muss jetzt reagieren. Alle anderen können abwarten und Tee trinken.


Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]