Forscher des „CISPA (Center for IT-Security, Privacy & Accountability) Helmholtz-Zentrum in Gründung“ in Saarbrücken haben eine neue Sicherheitslücke bei Computer-Prozessoren entdeckt.
Bereits Anfang 2018 wurden unter den Namen Meltdown und Spectre Angriffsszenarien öffentlich, wie sich Sicherheitslücken in Rechenkernen (CPUs) fast aller gängigen Prozessoren ausnutzen lassen. Indem Angreifende diese Schwachstellen missbrauchen, können sie eigentlich vor Zugriffen geschützte Daten auf einem Computer auslesen. Hard- und Software-Unternehmen arbeiten seit Bekanntwerden dieser Sicherheitsrisiken daran, die Schwachstellen zu beheben. Nun entdeckten Wissenschaftler am vom Bundesforschungsministerium geförderten CISPA eine weitere und bislang unbekannte Sicherheitslücke im Rechenkern von Prozessoren: die ret2spec (return-to-speculation). In ihrem Forschungspapier beschreiben Giorgi Maisuradze und Prof. Dr. Christian Rossow zwei Angriffsvarianten, wie sich die Schwachstelle ausnutzen lässt. Betroffen sind wohl alle Intel-Prozessoren der vergangenen zehn Jahre. Doch ähnliche Angriffsmechanismen lassen sich laut der Forscher wahrscheinlich auch für ARM- und AMD-Prozessoren ableiten.
Möglichkeiten, ret2spec auszunutzen, wären zum Beispiel präparierte Webseiten oder E-Mails mit JavaScript- oder WebAssembly-Schadcode. Einige der schon bisher gegen Spectre & Co. per Update in Browsern eingebauten Schutzmaßnahmen helfen zwar auch gegen ret2spec, wie die CISPA-Forscher in ihrem Paper erläutern. Dennoch sind viele bekannte Browser nicht ausreichend gewappnet und potentiell durch schadhafte Webseiten angreifbar. Deshalb ist es für Nutzerinnen und Nutzer jetzt wichtig, sämtliche Sicherheitsupdates der Browserhersteller schnellstmöglich zu installieren.
„Die Sicherheitslücke entsteht dadurch, dass CPUs zwecks Laufzeitoptimierung eine sogenannte Rücksprungadresse prognostizieren“, sagt Prof. Dr. Rossow, der am CISPA die Forschungsgruppe „System Security“ leitet. Vereinfacht kann man sich den Ablauf eines Computerprogramms als eine Abfolge von „Wenn-Dann-Sonst“-Verzweigungen vorstellen. Jede dieser Verzweigungen wird dabei technisch durch einen Sprung zu einer bestimmten Adresse im Speicher umgesetzt, an welcher der als nächstes auszuführende Programmcode steht. Nach der Ausführung des Codes an dieser Stelle erfolgt ein Rücksprung. Um Zeit zu sparen, führt die CPU den wahrscheinlichsten nächsten Programmcode bereits früher aus – sie spekuliert. „Kann ein Angreifer diese Prognose manipulieren, so erhält er die Kontrolle über spekulativ ausgeführten Programmcode. Er kann so über Seitenkanäle Daten auslesen, die eigentlich vor Zugriffen geschützt sein sollten.“ Es ist demnach beispielsweise möglich, dass schadhafte Webseiten den Speicher des Browsers auslesen, um kritische Daten wie gespeicherte Passwörter zu stehlen oder Browser-Sitzungen zu übernehmen. Eine leichte Variation des Angriffs ermöglicht es sogar, den Speicherinhalt anderer Prozesse auszulesen, um beispielsweise Passworteingaben anderer Nutzer mitzulesen. „Beide Variationen können als umgekehrter Spectre-Angriff verstanden werden, da in ret2spec nun auch Rücksprungadressen verwendet werden – statt wie in Spectre vorwärts gewandte Sprungadressen“, sagt Prof. Dr. Rossow.
Die Hersteller wurden im Rahmen eines sogenannten Responsible Disclosure im Mai 2018 auf die Schwachstellen hingewiesen und ihnen wurde vor Veröffentlichung der Ergebnisse 90 Tage zur Beseitigung eingeräumt. Ihren Schwachstellenfund werden die CISPA-Forscher im Oktober auf der ACM Conference on Computer and Communications Security (CCS) in Toronto (Kanada) vorstellen.