SWAPGS-Angriff nutzt Schwachstelle in Intel-Prozessoren
7. August 2019Bitdefender hat eine neue Sicherheitslücke identifiziert, die sämtliche moderne Intel Prozessoren betrifft. Diese Prozessoren nutzen die CPU-Funktionalität der Speculative Execution, über die eine Side-Channel-Attacke erfolgen kann. Die Schwachstelle ermöglicht Zugriff auf Passwörter, Token, private Unterhaltungen sowie andere vertrauliche Daten von Privatanwendern und Unternehmen. Alle Rechner mit neueren Intel-Prozessoren und Windows sind betroffen, inklusive Server und Notebooks. Über ein Jahr hat Bitdefender mit den Technologiepartnern an einer Veröffentlichung dieser Schwachstelle gearbeitet – Patches stehen nun zur Verfügung oder werden in Kürze veröffentlicht.
Bei der Speculative Execution handelt es sich um eine Funktion im Prozessor, die darauf abzielt, die Geschwindigkeit der CPU zu beschleunigen. Dazu stellt sie Vermutungen darüber an, welche Anweisung als nächstes folgen könnte. Deswegen kann die Speculative Execution Spuren im Cache hinterlassen, die es Angreifern ermöglichen, mit einem Side-Channel-Attacke in den privilegierten Bereich des Arbeitsspeichers einzudringen, den der Betriebssystem-Kernel belegt. Der neu entdeckte Angriffsweg kombiniert Speculative Execution von Intel und die Verwendung des SWAPGS-Befehls (SWAPGS steht für SWAPGS — Swap GS Base Register).
Der Angriff umgeht die bekannten Schutzmechanismen, die nach Bekanntwerden von Spectre und Meltdown im Frühjahr 2018 umgesetzt wurden. Gemeinsam mit Intel habe Bitdefender über ein Jahr daran gearbeitet, nun die Öffentlichkeit über diesen Angriffsmechanismus informieren zu können, so Gavin Hill, Vice President, Datacenter and Network Security Products bei Bitdefender: „Die Erforschung solcher Angriffswege ist höchst komplex, da sie erstens tiefstes Wissen über die Funktionsweise moderner Prozessoren, zweitens ein umfassendes Verständnis der Prozesse innerhalb von Prozessoren und Betriebssystemen sowie drittens Kenntnisse von Speculative Execution und Side-Channel-Attacken erfordern.“
Laut Galvin könnten Kriminelle, die über das Wissen um diese Angriffsmöglichkeit verfügen, in der Lage sein, weltweit die wichtigsten und am besten geschützten Daten von Unternehmen und Privatanwendern zu stehlen oder sie für Erpressung, Sabotage und Spionage zu missbrauchen. Diese Lücke betrifft Intel-Prozessoren, die seit 2012 gefertigt wurden und geht somit zurück bis zur Generation des IvyBridge-Prozessors.
Patches stehen bereit
Microsoft und andere Partner haben bereits Patches veröffentlich, beziehungsweise sind dabei diese zu evaluieren und gegebenenfalls zu veröffentlichen. Die von Bitdefender entwickelte Technologie Hypervisor Introspection (HVI) zum Schutz von virtuellen Maschinen erkennt und verhindert diesen neuen Angriff auf ungepatchten Windows-Systemen.
Diese Veröffentlichung von Bitdefender folgt der Mitte Mai dieses Jahres bekanntgewordenen Sicherheitsschwachstelle bei Intel-Prozessoren mit dem Namen „Micro-Architectural Data Sampling“. Sie erlaubt es Angreifern, auf privilegierte Kernel-Mode-Informationen zuzugreifen, die bis dahin als unerreichbar für die meisten Anwendungen galten. (rhh)
Weitere Informationen zu diesem Angriffsmechanismus finden Sie hier auf dem Bitdefender Labs Blog.