Ein neuer Angriffstyp auf Intel-Prozessoren ermöglicht das Auslesen von Passwörtern, selbst wenn alle bisherigen Schutzmechanismen gegen Spectre-artige Angriffe aktiv sind. Die Computer Security Group (Comsec) der ETH Zürich nutzt dazu eine Eigenheit in Intels Sprungvorhersage aus. Sie nennt die Sicherheitslücke Branch Predictor Race Conditions (BPRC) und den Angriffstyp Branch Privilege Injection (BPI).
Wie schon der Angriffstyp Training Solo erfordert BPI physischen Zugriff auf ein System. Daher sind die zugehörigen CVE-Nummern CVE-2024-43420, CVE-2025-20623 und CVE-2024-45332 nur mit dem Schweregrad Medium bewertet. AMD- und ARM-Prozessoren sind nicht betroffen. BPI stellt vor allem bei Cloudservern ein Risiko dar, auf denen Anwendungen beziehungsweise Container und virtuelle Maschinen unterschiedlicher Anwender parallel laufen. Bei privat genutzten Desktop-PCs und Notebooks steigert BPI nach derzeitiger Kenntnis das Malware-Risiko nicht nennenswert.
Asynchrone Arbeit
Bei Intel aktualisiert die Sprungvorhersageeinheit (Branch Prediction Unit, BPU) den Fluss an Instruktionen sowie die Berechtigungsdomäne asynchron. Das steigert die Performance und stellt im Normalfall kein Problem dar, weil die Berechtigungen zum Abschluss einer Operation eigentlich klar sind.
Das Forschungsteam der ETH manipuliert den Instruktionsstrom allerdings derart, dass die Privilegien bis zum Abschluss einer Operation nicht aktualisiert werden. Folglich verschwimmen die Berechtigungsgrenzen – Angreifer können Daten eines eigentlich abgeschotteten, privilegierten Prozesses auslesen. Bei einem Proof of Concept (POC) funktioniert das mit 5,6 KByte/s. In einer Videodemonstration zeigt Comsec, wie ihre Anwendung ein komplexes Passwort ausliest.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.
YouTube-Video immer laden
Für die Injektion passender Instruktionen orientiert sich das Forschungsteam an einem auslesbaren Cache-Taktsignal, das für Nanosekunden bei der Ausführung von Instruktionen entsteht. Zur Manipulation verwenden sie ein Cache-Signaling-Gadget.
Drei Abwandlungen umgehen unterschiedliche Abschottungen: BPRCU K umgeht die Barriere zwischen User- und Kernel-Space, BPRCG H die Barriere zwischen Gast und Hypervisor und BPRCIBPB hebelt Intels Sicherheitsmechanismus Indirect Branch Predictor Barrier (IBPB) aus.
Intel verteilt Microcode-Updates
Betroffen sind alle modernen Desktop-, Notebook- und Serverprozessoren von Intel. Intel führt im eigenen Security-Beitrag Core-i-Prozessoren ab der achten Generation (Coffee Lake), Xeon-Modelle ab der zweiten Scalable-Generation (Cascade Lake) und zahlreiche Atoms, Celerons sowie Pentiums an. Nicht alle BPRC-Typen funktionieren allerdings auf allen CPUs.
Der Hersteller verteilt Microcode-Updates, die die Auffälligkeiten im Taktsignal unterbinden und damit die Branch Privilege Injection verhindern. Die Comsec-Forscher haben mit einem Vorab-Update auf einem Alder-LaKe-System (Core i-12000) Performance-Einbußen von bis zu 2,7 Prozent gemessen. Entsprechende BIOS- oder Windows-Updates sollten zeitnah erscheinen.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Preisvergleiche immer laden
(mma)
English (US) ·