Sicherheitslücke: Bug in Intel CPUs bedroht Betriebssysteme

[English]Ein Designfehler in existierenden Intel CPUs scheint gravierende Auswirkungen auf alle Betriebssysteme zu haben, die auf diesen CPUs laufen. Im Linux-Kernel wurde schon gepatcht. Aber was ist mit Windows und anderen Betriebssystemen, die auf diesen CPUs laufen?


Anzeige

Erste Informationen

Noch ist einiges Spekulation – aber ich hatte vor zwei Tagen den Bericht The mysterious case of the Linux Page Table Isolation patches gelesen, wo sich folgende Information findet:

there is presently an embargoed security bug impacting apparently all contemporary CPU architectures that implement virtual memory, requiring hardware changes to fully resolve. Urgent development of a software mitigation is being done in the open and recently landed in the Linux kernel, and a similar mitigation began appearing in NT kernels in November. In the worst case the software fix causes huge slowdowns in typical workloads. There are hints the attack impacts common virtualization environments including Amazon EC2 and Google Compute Engine, and additional hints the exact attack may involve a new variant of Rowhammer.

Zu Deutsch: Es gibt derzeit ein Sicherheitsproblem (welches unter Embargo gehalten wird), das offensichtlich alle zeitgenössischen [Intel] CPU-Architekturen betrifft. Dessen vollständige Behebung erfordert Hardware-Änderungen. Um das Sicherheitsproblem abzuschwächen, muss per Software nachgebessert werden. Ein Patch ist vor kurzem im Linux-Kernel gelandet, und ein ähnlicher Fix wurde ab November 2017 im NT-Kernel von Windows eingeführt. Die letztere Information geht aus diesem Tweet der hervor.

Diese Software-Fixes führen aber zu einer massiven Verlangsamungen typischer Workloads. Es gibt Hinweise darauf, dass der Angriff Auswirkungen auf gängige Virtualisierungsumgebungen wie Amazon EC2 und Google Compute Engine hat, und zusätzliche Hinweise, dass der genaue Angriff eine neue Variante von Rowhammer beinhaltet.

Linux-Kernel-Entwickler haben umgebaut

Um die Weihnachtsfeiertage 2017 gab es bei den Linux Kernel-Entwicklern heftige Aktivitäten, wie ComputerBase hier schreibt. In den letzten Wochen wurden Teile des Virtual-Memory-Subsystem kräftig umgebaut. Konkret handelt es sich um den Kernel Page-Table Isolation (KPTI), der es erzwingt, dass der Speicherbereich des Kernels nicht mehr in den Speicherbereich der Prozesse gemappt wird. Bei ComputerBase findet sich eine etwas ausführlichere Beschreibung des Ganzen.

Die Umbauten beziehen sich nicht nur auf den Linux-Kernel 4.15, der erst veröffentlicht wird. Sondern die Patches beziehen sich auch für ältere Linux-Kernel-Versionen 4.9 und 4.14. Das ging dieses Mal ohne große Diskussionen und Streit ab, es muss also einen triftigen Grund für den Umbau geben.

Rowhammer-Angriff in Intel CPUs möglich

Rowhammer ist eine hardwarebasierende Sicherheitslücke, die man erstmals bei Android-Geräten nachgewiesen hat (siehe meinen Blog-Beitrag Drammer-Exploit nutzt Rowhammer-Lücke für Android-Root). Durch eine als Flip Feng Shui (FFS) benannte Technik lassen sich Speicherzellen im RAM manipulieren.


Werbung

Auf Intel CPUs lassen sich durch eine fehlerhafte Implementierung der virtuellen Speicherverwaltung Speicherbereiche spekulativ laden. Der Zugriff auf diese Speicherbereich erfolgt dann ohne weitere Prüfung, ob der Prozess die erforderlichen Rechte hat. Dies ist natürlich der Super-GAU, denn damit kann jeder nicht privilegierte Prozess auf den Speicher des Kernels zugreifen, um zumindest sensible Daten auszulesen.

Das Ganze schlägt Wellen

Nun ist Linux das Eine, aber die Intel CPUs der x86-Architektur stecken ja in vielen Geräten und Systemen und es gibt eine Menge Betriebssysteme, die Intel verwenden. Oben hatte ich ja ausgeführt, dass Microsoft bereits im November 2017 mit Kernel-Updates begonnen hat, dieses Loch ins einen Windows-Clients zu stopfen. Aber es gibt ja noch mehr Systeme, auf die wir unser Augenmerk richten sollten. Was ist mit der Cloud? Die läuft auch auf Rechnern – die (richtig beobachtet) Intel CPUs verwenden.

Cloud-Provider wie Amazon (AWS) und Google dürften genau so betroffen sein, wie Microsoft mit seinem Azure. Auch Apple dürfte in macOS nachbessern müssen. The Register berichtet hier, dass eigentlich alle Betriebssysteme einem Redesign unterzogen werden müssen.  Der englischsprachige Artikel enthält einige Details zu den Angriffsszenarien.

Weiterhin gibt es Spekulationen, dass die als „Defense in Depth“ eingesetzte Sicherheitstechnik Address Space Layout Randomization (ASLR) des Kernels ausgehebelt werden könnte.

Patch für Azure VMs am 10. Januar 2018

Beim Januar 2018-Patchday (nächsten Mittwoch, 10. 1. 2017) plant Microsoft seine Azure Virtual Machines zu patchen. Im Microsoft Azure-Forum gibt es hier einen Beitrag:

Your Azure Virtual Machines (VMs) require an important security and maintenance update. The vast majority of Azure updates are performed without impact but, for this specific update, a reboot of your VMs is necessary.

Workaround führt zur Verlangsamung der Systeme

Zum Jahresende gab es einen recht merkwürdigen Tweet von grsecurity, in dem über Performance-Verluste auf einem AMD-System als Folge von (K)PTI berichtet wurde.

Merkwürdig ist aber, dass die AMD-CPUs von der PTI nicht betroffen sind. Caschy weist auf einen sehr interessanten Diskussionsthread bei reddit.com zu diesem Thema hin. Dort wird über Leistungseinbußen von 30 % und mehr spekuliert, wobei die Bandbreite von 5% bis 50 % variiert). Erste Benchmarks sind hier (und in diesem Tweet) zu finden. Nutzer einer PostgreSQL-Datenbank haben hier einen Benchmark veröffentlicht, wie sich PTI auf die Performance der Datenbank auswirkt.

AMD-CPUs nicht betroffen

Und noch etwas ist klar schnell klar: Die Besitzer einer AMD-CPU haben diesbezüglich Schwein gehabt. Diese CPU-Familie ist nicht betroffen, wie diese Stellungnahme von AMD ausführt.

AMD processors are not subject to the types of attacks that the kernel
page table isolation feature protects against. The AMD microarchitecture
does not allow memory references, including speculative references, that
access higher privileged data when running in a lesser privileged mode
when that access would result in a page fault.

Disable page table isolation by default on AMD processors by not setting
the X86_BUG_CPU_INSECURE feature, which controls whether X86_FEATURE_PTI
is set.

Von Intel liegt meines Wissens nach noch keine Stellungnahme vor. Ergänzung: Bei heise.de ist inzwischen dieser Artikel erschienen, wo noch einige zusätzliche Details zu finden sind.

Nachtrag: Lahme Stellungnahme von Intel

Inzwischen hat Intel eine Stellungnahme zum Problem für die Presse verteilt. Hier die deutsche Übersetzung von mir:

Intel reagiert auf Erkenntnisse der Sicherheitsforschung

Intel und andere Technologieunternehmen wurden auf die neue Sicherheitserkenntnis aufmerksam gemacht, die Software-Analysemethoden beschreibt, die, wenn sie für böswillige Zwecke eingesetzt werden, das Potenzial haben, sensible Daten von Computern, die so funktionieren, wie sie entworfen wurden, unsachgemäß zu erfassen. Intel ist der Ansicht, dass diese Exploits nicht das Potenzial haben, Daten zu beschädigen, zu verändern oder zu löschen.

Jüngste Berichte, dass diese Exploits durch einen “Bug” oder einen “Fehler” verursacht werden und nur für Intel-Produkte gelten, sind falsch. Basierend auf der bisherigen Analyse sind viele Arten von Computergeräten – mit Prozessoren und Betriebssystemen verschiedener Hersteller – anfällig für diese Exploits.

Intel hat sich der Produkt- und Kundensicherheit verschrieben und arbeitet eng mit vielen anderen Technologieunternehmen, darunter AMD, ARM Holdings und verschiedenen Betriebssystemherstellern, zusammen, um einen branchenweiten Ansatz zu entwickeln, um dieses Problem schnell und konstruktiv zu lösen. Intel hat damit begonnen, Software- und Firmware-Updates bereitzustellen, um diese Exploits abzuschwächen. Im Gegensatz zu einigen Berichten sind die Auswirkungen auf die Performance arbeitslastabhängig und sollten für den durchschnittlichen Computerbenutzer nicht signifikant sein und werden im Laufe der Zeit gemildert.

Intel bekennt sich zu den branchenweit besten Praktiken der verantwortungsbewussten Offenlegung potenzieller Sicherheitsprobleme, weshalb Intel und andere Anbieter geplant hatten, dieses Problem nächste Woche offenzulegen, wenn weitere Software- und Firmware-Updates verfügbar sein werden. Allerdings macht Intel diese Aussage heute wegen der aktuellen ungenauen Medienberichte.

Erkundigen Sie sich bei Ihrem Betriebssystemhersteller oder Systemhersteller und wenden Sie alle verfügbaren Updates an, sobald sie verfügbar sind. Die Befolgung guter Sicherheitspraktiken, die im Allgemeinen vor Malware schützen, wird auch dazu beitragen, vor einer möglichen Ausbeutung zu schützen, bis Aktualisierungen durchgeführt werden können.

Intel ist davon überzeugt, dass seine Produkte die sichersten der Welt sind und dass die aktuellen Lösungen mit Unterstützung seiner Partner die bestmögliche Sicherheit für seine Kunden bieten.

Der letzte Satz erinnert mich an die Zeit vor vielen Jahrzehnten, als ich meiner damals kleinen Tochter aus dem Märchenbuch Geschichten vorlesen musste. Da gab es auch immer die gute Intel Fee, die einfach per Zauberstab das Böse wech zauberte – und das Kind war glücklich …


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

14 Kommentare zu Sicherheitslücke: Bug in Intel CPUs bedroht Betriebssysteme

  1. Markus sagt:

    Schön langsam bin ich für einen Rückruf wie bei diversen Auto Herstellern.
    Irgendwie eine Intel-Horror-Meldung nach der anderen…

    • Günter Born sagt:

      Solange ihr den Boten der Nachricht nicht köpft, werde ich auch weiter Horror-Meldungen thematisieren ;-).

      Ist aber sehr unschön – und da träumen die Leute von Industrie 4.0 und alles vernetzen. Die Revolution frisst ihre eigenen Kinder, das diese auf einem sehr wackeligen Fundament basiert.

  2. deoroller sagt:

    Bei einem Designfehler kann man nur die Hardware austauschen oder die betroffenen Bereiche deaktivieren, was den Vorteil wieder zunichte macht, den man damit beabsichtigte. Ich hoffe, dass es keine Kollateralschäden gibt, weil man alles “kaputtpatcht”, weil man sich in der Not nicht besser zu helfen weiß.

  3. Rolf Dieter sagt:

    Tja, Wintel scheint fertig zu haben.
    Die Kombination (oder beide einzeln) kann man ja vollkommen in die Tonne treten.
    Lang lebe also Lamd. :-)

  4. Malte sagt:

    Wäre interessant zu wissen ob mein Pentium III Rechner auch davon betroffen ist.
    Ja richtig, ich setze immer noch so eine (alte Gurke) ein.
    Der Rechner läuft noch wie am ersten Tag.

  5. Werbung

  6. Holger sagt:

    Hier das, was ich auf heise.de dazu geschrieben habe:

    Nach allem, was ich seit gestern über diesen Fall gelesen habe, ist das kein einfacher Bug in den Prozessoren von Intel sondern ein kapitaler Designfehler, der in der Branch Prediction Unit steckt.
    Die Informationen, die AMD veröffentlicht hat, um klarzustellen, dass man von diesem Designfehler nicht betroffen ist, lassen keinen Zweifel aufkommen, dass der Designfehler eine Rechteausweitung ermöglicht. Zitat:

    AMD processors are not subject to the types of attacks that the kernel page table isolation feature protects against. The AMD microarchitecture does not allow memory references, including speculative references, that access higher privileged data when running in a lesser privileged mode when that access would result in a page fault.

    Hier wird also referenziert, trotz dass der Zugriff in einen Seitenfehler läuft!

    Mir gingen eben ein paar Überlegungen durch den Kopf:

    Wenn Prozessorhersteller aufgrund von Performanceeinbußen oder Arglosigkeit Sicherheitsüberprüfungen beim Zugriff auf höherprivilegierte Speicherbereiche unterlassen, um gegenüber Konkurrenten nicht schlechter dazustehen und deshalb diese Überprüfungen bzw. Workarounds auf OS-Level durchgeführt werden müssen, so sind dort die Performanceeinbußen noch höher, als wenn diese Sicherheitsüberprüfungen doch schon auf Hardwareebene implementiert worden wären.

    Ergo zahlt es sich für einen Prozessorhersteller/Designer (ich denke da auch an ARM) nie aus, da zu schlampen oder dies Thema zu vernachlässigen. In den letzten zehn Jahren wurden zahllose Sicherheitsfeatures in Prozessoren implementiert, von denen aber einige nicht das hielten, was sie versprachen.

    Ich hoffe, dass dieser Fall zu einem Umdenken im Prozessordesign führen wird.

  7. Frank B. sagt:

    Ist doch SUUUPER für Intel.

    a) Die Systeme werden gepatcht.

    b) Die Systeme werden langsamer.

    c) Die Systeme werden deswegen gegen schnellere Systeme vom “Markführer” ersetzt.

    Einfach genial.

    :-(

    • Micha sagt:

      Es ist halt so. Selbst wenn AMD mal was gleichwertiges im Angebot hat wird nur Intel gekauft.

      Wenn Intel einen Design oder Funktionsfehler macht passiert nicht viel.

      Wenn AMD einen ähnlichen Fehler machen würde gibt es einen reisen aufschreie warum das passiert ist.

      Bei Nvidia sieht´s genauso aus. Denke da nur an den Speichertage der GeForce GTX 970. Trotzdem wurde fleißig weiter Nvidia gekauft.

      • Frank B. sagt:

        Na ja, ich hatte vor Jahren mal einen AMD gekauft.

        Leider hat der Board-Hersteller (MSI) gepennt.

        Dort sind mir zahlreiche Elkos geplatzt.

        Bei Intel-Boards war das nie der Fall.

        Ich weiss, dass das an MSI und nicht an AMD liegt, doch will ich so etwas nicht mit meinem Geld ausbaden (müssen).

  8. Claus Peter Svada sagt:

    Guten Tag,
    der IE5 ist ja dann wohl auch betroffen. Erhebt sich die Frage, ob dieser Patch
    überhaupt installiert werden muß? Bislang ging doch alles gut…..
    Gruß,
    ClausPeter

Schreibe einen Kommentar zu Markus Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht.