So schützen Sie Ihren PC vor den Intel Foreshadow-Fehlern
Foreshadow, auch als L1-Terminalfehler bezeichnet, ist ein weiteres Problem bei der spekulativen Ausführung in Intels Prozessoren. Dadurch kann schädliche Software in sichere Bereiche eindringen, in denen selbst die Fehler von Spectre und Meltdown nicht geknackt werden konnten.
Was ist Foreshadow??
Foreshadow greift insbesondere die Software Guard Extensions (SGX) -Funktion von Intel an. Dies ist in Intel-Chips eingebaut, damit Programme sichere "Enklaven" erstellen können, auf die selbst andere Programme auf dem Computer keinen Zugriff haben. Selbst wenn sich Malware auf dem Computer befand, konnte sie nicht auf die sichere Enklave-Theorie zugreifen. Als Specter und Meltdown angekündigt wurden, stellten Sicherheitsforscher fest, dass SGX-geschützter Speicher gegenüber Specter- und Meltdown-Angriffen weitgehend immun ist.
Es gibt auch zwei verwandte Angriffe, die von den Sicherheitsforschern als „Foreshadow - Next Generation“ oder Foreshadow-NG bezeichnet werden. Diese ermöglichen den Zugriff auf Informationen im System Management Mode (SMM), im Betriebssystemkernel oder auf einen virtuellen Maschinenhypervisor. Theoretisch könnte Code, der in einer virtuellen Maschine eines Systems ausgeführt wird, Informationen lesen, die in einer anderen virtuellen Maschine des Systems gespeichert sind, obwohl diese virtuellen Maschinen vollständig isoliert sein sollen.
Foreshadow und Foreshadow-NG verwenden wie Spectre und Meltdown Fehler bei der spekulativen Ausführung. Moderne Prozessoren schätzen den Code, von dem sie glauben, dass er als Nächstes ausgeführt wird, und führen ihn präventiv aus, um Zeit zu sparen. Wenn ein Programm versucht, den Code auszuführen, ist das schon toll, und der Prozessor kennt die Ergebnisse. Wenn nicht, kann der Prozessor die Ergebnisse wegwerfen.
Diese spekulative Ausführung lässt jedoch einige Informationen zurück. Basierend auf der Zeit, die ein spekulativer Ausführungsprozess dauert, um bestimmte Arten von Anforderungen auszuführen, können Programme beispielsweise darauf schließen, welche Daten sich in einem Speicherbereich befinden - selbst wenn sie nicht auf diesen Speicherbereich zugreifen können. Da schädliche Programme diese Techniken zum Lesen geschützten Speichers verwenden können, können sie sogar auf Daten zugreifen, die im L1-Cache gespeichert sind. Dies ist der Low-Level-Speicher in der CPU, in dem sichere kryptografische Schlüssel gespeichert werden. Deshalb werden diese Angriffe auch als "L1 Terminal Fault" oder L1TF bezeichnet.
Um Foreshadow zu nutzen, muss der Angreifer lediglich Code auf Ihrem Computer ausführen können. Der Code erfordert keine besonderen Berechtigungen - es könnte sich um ein Standardbenutzerprogramm ohne Systemzugriff auf niedriger Ebene oder sogar um Software handeln, die in einer virtuellen Maschine ausgeführt wird.
Seit der Ankündigung von Spectre und Meltdown haben wir einen stetigen Strom von Angriffen erlebt, die spekulative Ausführungsfunktionen missbrauchen. Zum Beispiel greift der Speculative Store Bypass (SSB) betroffene Prozessoren von Intel und AMD sowie einige ARM-Prozessoren an. Es wurde im Mai 2018 angekündigt.
Ist Foreshadow in freier Wildbahn eingesetzt?
Foreshadow wurde von Sicherheitsforschern entdeckt. Diese Forscher haben einen Proof-of-Concept, also eine funktionelle Attacke, die sie zur Zeit jedoch nicht veröffentlichen. Dies gibt jedem Zeit zum Erstellen, Freigeben und Anwenden von Patches zum Schutz vor Angriffen.
Wie Sie Ihren PC schützen können
Beachten Sie, dass nur PCs mit Intel-Chips in erster Linie anfällig für Foreshadow sind. AMD-Chips sind für diesen Fehler nicht anfällig.
Die meisten Windows-PCs benötigen nur Betriebssystemupdates, um sich vor Foreshadow zu schützen, so die offiziellen Sicherheitsempfehlungen von Microsoft. Führen Sie einfach Windows Update aus, um die neuesten Patches zu installieren. Microsoft sagt, dass durch die Installation dieser Patches kein Leistungsverlust festgestellt wurde.
Einige PCs benötigen möglicherweise auch einen neuen Intel-Mikrocode, um sich selbst zu schützen. Intel sagt, dass dies dieselben Mikrocode-Updates sind, die Anfang dieses Jahres veröffentlicht wurden. Sie können neue Firmware erhalten, sofern diese für Ihren PC verfügbar ist, indem Sie die neuesten UEFI- oder BIOS-Updates vom PC- oder Motherboard-Hersteller installieren. Sie können Microcode-Updates auch direkt von Microsoft installieren.
Was Systemadministratoren wissen müssen
PCs, auf denen Hypervisor-Software für virtuelle Maschinen (z. B. Hyper-V) ausgeführt wird, benötigen ebenfalls Updates dieser Hypervisor-Software. Neben einem Microsoft-Update für Hyper-V hat VMWare beispielsweise ein Update für die Software seiner virtuellen Maschinen veröffentlicht.
Systeme, die Hyper-V- oder Virtualisierungs-basierte Sicherheit verwenden, müssen möglicherweise drastisch geändert werden. Dies beinhaltet das Deaktivieren von Hyper-Threading, wodurch der Computer langsamer wird. Die meisten Benutzer müssen dies nicht tun, aber Windows Server-Administratoren, die Hyper-V auf Intel-CPUs ausführen, müssen ernsthaft die Deaktivierung von Hyper-Threading im BIOS des Systems in Betracht ziehen, um die Sicherheit ihrer virtuellen Maschinen zu gewährleisten.
Cloud-Anbieter wie Microsoft Azure und Amazon Web Services patchen auch ihre Systeme, um virtuelle Maschinen auf gemeinsam genutzten Systemen vor Angriffen zu schützen.
Patches können auch für andere Betriebssysteme erforderlich sein. Zum Beispiel hat Ubuntu Linux-Kernel-Updates zum Schutz vor diesen Angriffen veröffentlicht. Apple hat diesen Angriff noch nicht kommentiert.
Die CVE-Nummern, die diese Fehler identifizieren, sind insbesondere CVE-2018-3615 für den Angriff auf Intel SGX, CVE-2018-3620 für den Angriff auf das Betriebssystem und den System Management Mode und CVE-2018-3646 für den Angriff auf den Manager für virtuelle Maschinen.
In einem Blogbeitrag sagte Intel, es arbeite an besseren Lösungen, um die Leistung zu verbessern und gleichzeitig L1TF-basierte Exploits zu blockieren. Diese Lösung wendet den Schutz nur dann an, wenn dies zur Verbesserung der Leistung erforderlich ist. Intel sagt, dass es bereits einen Pre-Release-CPU-Mikrocode mit dieser Funktion für einige Partner zur Verfügung gestellt hat, und evaluiert derzeit die Veröffentlichung.
Schließlich stellt Intel fest, dass "L1TF auch durch Änderungen, die wir auf Hardwareebene vornehmen, angegangen wird." Zukünftige Intel-CPUs werden Hardwareverbesserungen enthalten, die einen besseren Schutz vor Spectre, Meltdown, Foreshadow und anderen spekulativen ausführungsbasierten Angriffen mit ermöglichen weniger Leistungsverlust.
Bildnachweis: Robson90 / Shutterstock.com, Foreshadow.