Forschungsteam der ETH Zürich entdeckt neuen Angriffstyp auf Intel-Prozessoren
Ein Forschungsteam der ETH Zürich einen neuen Angriffstyp auf Intel-Prozessoren aufgedeckt, der als Branch Privilege Injection (BPI) bezeichnet wird. Dieser Angriff nutzt eine Eigenart in Intels Sprungvorhersagemechanismus, dem sogenannten Branch Predictor, aus, um Daten aus abgeschotteten, privilegierten Prozessen auszulesen. Obwohl die gängigen Schutzmechanismen gegen Spectre-artige Angriffe aktiv sind, kann BPI diese überspringen und ermöglicht somit das Auslesen sensibler Informationen, wie beispielsweise Passwörter.
Eine wesentliche Voraussetzung für diesen Angriff ist physischer Zugriff auf das betroffene System, was ihn in Szenarien mit Cloud-Servern relevanter macht, in denen verschiedene Anwendungen oder virtuelle Maschinen parallel laufen. Privat genutzte PCs und Notebooks hingegen gelten aufgrund des fehlenden physischen Zugangs derzeit als weniger gefährdet.
Der Angriff funktioniert durch Manipulation des Instruktionsstroms und gezielte Beeinflussung der Berechtigungsdomäne der Sprungvorhersageeinheit (BPU). Normalerweise aktualisiert die BPU Berechtigungen im Zuge der Ausführung von Anweisungen. BPI hingegen nutzt Schwachstellen, um diese Aktualisierung zu unterbrechen oder auszutricksen, wodurch es möglich wird, Daten aus geschützten Bereichen zu extrahieren.
Die ETH-Forscher identifizierten drei verschiedene Abwandlungen des Angriffs, die jeweils unterschiedliche Abschottungen überwinden: BPRCsubU umgeht die Barriere zwischen User- und Kernel-Space, BPRCsubG hebelt die Grenze zwischen Gast- und Hypervisor aus, während BPRCsubIBPB Intels Sicherheitsmechanismus Indirect Branch Predictor Barrier (IBPB) umgeht.
Betroffen sind alle modernen Intel-Prozessoren, angefangen bei der achten Generation Core i (Coffee Lake) über Xeon-Modelle ab der zweiten Scalable Generation (Cascade Lake) bis hin zu diversen Atoms, Celerons und Pentiums. Nicht alle Angriffstypen funktionieren jedoch auf allen CPU-Generationen gleichermaßen.
Um dieses Risiko zu minimieren, hat Intel Microcode-Updates bereitgestellt, die die Auffälligkeiten im Taktsignal des Prozessors beheben und so BPI verhindern. Erste Tests mit einem Vorab-Update auf einem Alder Lake System (Core i-12000) zeigten allerdings bis zu 2,7 Prozent Performance-Einbußen. Entsprechende BIOS- oder Windows-Updates, die diese Microcode-Korrekturen integrieren, sollten zeitnah verfügbar sein, um Anwender vor diesem neuen Angriffstyp zu schützen.
Schlagwörter: BPI + BPRCsubIBPB Intels + ETH Zürich
(pz)
