Intel-CPUs im Visier: Neue Sicherheitslücke ermöglicht Datendiebstahl durch Spectre-v2-Variante
Moderne Intel-CPUs, einschließlich Raptor Lake und Alder Lake, sind anfällig für einen neuen Seitenkanalangriff. Über eine solche Attacke könnten sensible Informationen von den Prozessoren gestohlen werden.
Der von den Sicherheitsexperten Luyi Li, Hosein Yavarzadeh und Dean Tullsen als „Indirector“ bezeichnete Angriff nutzt Schwachstellen im Indirect Branch Predictor (IBP) und im Branch Target Buffer (BTB) aus, um bestehende Schutzmechanismen zu umgehen und die Sicherheit der CPUs zu kompromittieren.
„Indirector“: So funktioniert der neue Seitenkanalangriff
„Der Indirect Branch Predictor ist eine Hardwarekomponente in modernen CPUs, welche die Zieladressen von indirekten Verzweigungen vorhersagt“, erklären die Forscher. „Indirect Branches sind Kontrollflussanweisungen, deren Zieladresse zur Laufzeit berechnet wird, was ihre genaue Vorhersage erschwert. Der IBP verwendet eine Kombination aus globaler Historie und Verzweigungsadresse, um die Zieladresse indirekter Verzweigungen vorherzusagen.“
Der Angriff zielt darauf ab, Schwachstellen im IBP zu identifizieren, um präzise Branch Target Injection (BTI)-Angriffe – auch bekannt als Spectre v2 (CVE-2017-5715) – durchzuführen. Diese Angriffe nutzen den indirekten Branch Predictor eines Prozessors, um über einen Seitenkanal unberechtigt Informationen zu stehlen. Dies wird durch das benutzerdefinierte Tool iBranch Locator erreicht, das indirekte Verzweigungen aufspürt und dann gezielte IBP- und BTP-Injektionen durchführt, um eine spekulative Ausführung zu ermöglichen.
Yavarzadeh, einer der Hauptautoren der Studie, erklärte: „Während der Pathfinder-Angriff den Conditional Branch Predictor ins Visier nahm, der lediglich vorhersagt, ob eine Verzweigung ausgeführt wird oder nicht, gehen die neuen Angriffe direkt auf die Ziel-Prädiktoren los,“ und fügte hinzu: „Indirector-Angriffe sind in ihren möglichen Auswirkungen viel schwerwiegender.“
Laut Yavarzadeh werden der Indirect Branch Predictor (IBP) und der Branch Target Buffer (BTB), die für die Vorhersage der Zieladressen von Verzweigungsanweisungen in modernen CPUs zuständig sind, manipuliert, um extrem präzise Injektionsangriffe auf Verzweigungsziele durchzuführen. Diese Angriffe können den Kontrollfluss eines Opferprogramms übernehmen und es dazu bringen, an beliebige Stellen zu springen und Geheimnisse preiszugeben.
Lücke gibt es seit Februar
Intel wurde im Februar 2024 auf diese Entdeckungen aufmerksam gemacht. Der Chip-Riese hat daraufhin andere betroffene Hardware- und Softwarehersteller über das Problem informiert. „Intel hat den Bericht der Forscher geprüft und festgestellt, dass frühere Maßnahmen, wie IBRS, eIBRS und BHI, gegen diese neue Angriffsmethode wirksam sind. Daher sind keine neuen Maßnahmen oder Anleitungen erforderlich“, so ein Unternehmenssprecher gegenüber der Presse.
Es wird empfohlen, die Indirect Branch Predictor Barrier (IBPB) häufiger zu nutzen und das Design der Branch Prediction Unit (BPU) durch komplexere Tags, Verschlüsselung und Randomisierung zu verbessern.
Die Studie entstand, nachdem festgestellt wurde, dass Arm-CPUs anfällig für den spekulativen Ausführungsangriff TIKTAG sind. Dieser Angriff zielt auf die Memory Tagging Extension (MTE) ab und kann mit einer Erfolgsquote von über 95 Prozent in weniger als vier Sekunden Daten ausspähen.
Die Wissenschaftler Juhee Kim, Jinbum Park, Sihyeon Roh, Jaeyoung Chung, Youngjoo Lee, Taesoo Kim und Byoungyoung Lee erklärten: „Unsere Studie identifiziert neue TikTag-Gadgets, die in der Lage sind, die MTE-Tags beliebiger Speicheradressen durch spekulative Ausführung auszuspähen. Mit TikTag-Gadgets können Angreifer die probabilistische Verteidigung von MTE umgehen und die Erfolgsrate ihrer Angriffe nahezu auf 100 Prozent steigern.“
Arm reagierte auf diese Enthüllung mit der Aussage: „MTE bietet einige deterministische und viele probabilistische Verteidigungsmechanismen gegen bestimmte Angriffe. Die probabilistischen Eigenschaften sind jedoch nicht dafür ausgelegt, eine vollständige Lösung gegen einen Angreifer zu sein, der Brute-Force-Angriffe durchführt, Lecks findet oder beliebige Adress-Tags erstellt.“