Massive Sicherheitslücke in Intel-CPUs der letzten Jahre

Bereits in den letz­ten Wochen muss­te Intel Nega­tiv­schlag­zei­len wegen Sicher­heits­lü­cken im Manage­ment Engi­ne Inter­face über sich erge­hen las­sen. Doch gestern hat The Regis­ter eine Wel­le an Nach­rich­ten ange­sto­ßen, die weit über die MEI-Pro­ble­ma­tik hin­aus­rei­chen. In Intel-Pro­zes­so­ren mit Sup­port für x86-64 befin­det sich offen­bar eine gra­vie­ren­de Sicher­heits­lü­cke, die es Angrei­fern erlaubt, auf pro­zess­frem­de Spei­cher­be­rei­che zuzu­grei­fen. Da es sich dem Ver­neh­men nach um einen Hard­ware-Bug han­deln soll, der nicht mit einem Micro­code-Update gefixt wer­den kann, ist die Bedro­hungs­si­tua­ti­on poten­zi­ell erheb­lich, schließ­lich ste­cken in der über­wie­gen­den Mehr­zahl der x86-64-Sys­te­me Intel-Pro­zes­so­ren. Der Bug ist unab­hän­gig vom Betriebs­sys­tem – Win­dows, Linux und MacOS sind betroffen.

AMD-Pro­zes­so­ren sind laut Aus­sa­ge eines AMD-Ent­wick­lers nicht betroffen:

AMD pro­ces­sors are not sub­ject to the types of attacks that the ker­nel page table iso­la­ti­on fea­ture pro­tects against. The AMD micro­ar­chi­tec­tu­re does not allow memo­ry refe­ren­ces, inclu­ding spe­cu­la­ti­ve refe­ren­ces, that access hig­her pri­vi­le­ged data when run­ning in a les­ser pri­vi­le­ged mode when that access would result in a page fault.

Indi­rekt betrifft der Bug weit mehr als die PC-Nut­zer mit Intel-Pro­zes­so­ren, schließ­lich ste­cken auch in den meis­ten Cloud-Ser­vern Intel-Pro­zes­so­ren, auf denen Smart­phone-Nut­zer ihre Kon­ten hin­ter­le­gen, eben­so wie in den Cloud-Com­pu­ting-Diens­ten bei Ama­zon, Micro­soft (Azu­re) und ver­gleich­ba­ren Ange­bo­ten. Auch die meis­ten Fir­men­ser­ver dürf­ten von Intel Xeon-Pro­zes­so­ren befeu­ert sein.

Bekannt ist der Bug anschei­nend schon län­ger, da die Linux Ker­nel-Ent­wick­ler eben­so wie die Fast-Ring-Ent­wick­ler bei Micro­soft bereits einen Patch parat haben. Bei Micro­soft ist der Patch anschei­nend seit 19. Dezem­ber im Fast-Ring ab Ver­si­on 17035 aktiv. Bei Linux ist der (K)PTI-Fix ab Linux-Ker­nel 4.14.11 aktiv, aller­dings wird der Fix hier auch bei AMD-Pro­zes­so­ren akti­viert. Ab 4.14.12 soll er kor­rek­ter­wei­se nur bei Intel-Pro­zes­so­ren akti­viert wer­den, denn der Fix kos­tet ein wenig Leis­tung, da der TLB (Trans­la­ti­on-Loo­ka­s­i­de-Buf­fer) nicht mehr so effi­zi­ent arbei­ten kann; je nach Workload wer­den mal 7 Pro­zent, mal 25 Pro­zent Leis­tungs­ein­bu­ße ver­mel­det. Neben dem Workload an sich ist der Grad der Leis­tungs­ein­bu­ße offen­bar auch davon abhän­gig, ob der Pro­zes­sor den TLB lee­ren muss bei einem Wech­sel der Page­ta­ble oder nicht. Neue­re Intel-Pro­zes­so­ren müs­sen das dank pro­cess-con­text iden­ti­fiers (PCIDs) nicht, älte­re wie San­dy Bridge schon.

Da AMD von dem Bug nicht betrof­fen ist, obwohl x86-64 sei­ner­zeit von AMD ent­wi­ckelt wor­den war, lässt dar­auf schlie­ßen, dass der Feh­ler nicht im Befehls­satz an sich steckt, son­dern in der spe­zi­el­len Imple­men­tie­rung durch Intel.

Quel­len: