Es gibt eine neue Spectre-Schwachstelle mit dem Namen SWAPG (CVE-2019-1125) in Intel CPUs. Diese neue Schwachstelle betrifft Intel-CPUs ab Ivy Bridge und lässt sich über Seitenkanalangriffe ausnutzen. Microsoft hat Update für Windows bereitgestellt.
Anzeige
Bitdefender hat vor einigen Tagen Informationen über die neue Sicherheitslücke freigegeben, die sämtliche moderne Intel Prozessoren betrifft. Diese Prozessoren nutzen die CPU-Funktion Speculative Execution, über die eine Side-Channel-Attacke erfolgen kann. Die Schwachstelle ermöglicht Zugriff auf Passwörter, Token, private Unterhaltungen sowie andere vertrauliche Daten von Privatanwendern und Unternehmen. Alle Rechner, bei denen neuere Intel-Prozessoren zum Einsatz kommen und auf denen Windows ausgeführt wird, sind betroffen, inklusive Server und Notebooks. Über ein Jahr hat Bitdefender mit den Technologiepartnern an einer Veröffentlichung dieser Schwachstelle gearbeitet – Patches stehen nun zur Verfügung oder werden in Kürze veröffentlicht.
Die Schwachstelle wurde weniger als drei Monate nach dem letzten Sicherheitsalert zu Intel-Prozessoren bekannt. Speculative Execution ist eine Funktion, die darauf abzielt, die Geschwindigkeit der CPU zu beschleunigen, indem Vermutungen darüber getroffen werden, welche Anweisung als nächstes folgen könnte. Speculative Execution kann Spuren im Cache hinterlassen, die es Angreifern ermöglichen, mit einem Seitenkanalangriff in den privilegierten Bereich des Arbeitsspeichers einzudringen, den der Betriebssystem-Kernel belegt. Dieser neu entdeckte Angriffsweg kombiniert Speculative Execution von Intel und die Verwendung eines spezifischen Befehls des Windows Betriebssystems innerhalb eines sogenannten Gadgets.
Der Angriff umgeht alle bekannten Schutzmechanismen, die nach Bekanntwerden von Spectre und Meltdown im Frühjahr 2018 implementiert wurden. Gemeinsam mit Intel hat Bitdefender über ein Jahr daran gearbeitet, nun die Öffentlichkeit über diesen Angriffsmechanismus informieren zu können.
Microsoft und andere Partner haben bereits Patches veröffentlicht, beziehungsweise sind dabei diese zu evaluieren und gegebenenfalls zu veröffentlichen. Die von Bitdefender entwickelte Technologie Hypervisor Introspection (HVI) zum Schutz von virtuellen Maschinen erkennt und verhindert diesen neuen Angriff auf ungepatchten Windows-Systemen.
Anzeige
Die neueste Enthüllung folgt der Mitte Mai dieses Jahres bekanntgewordenen Sicherheitsschwachstelle bei Intel-Prozessoren mit dem Namen „Micro-Architectural Data Sampling", die es Angreifern erlaubt, auf privilegierte Kernel-Mode-Informationen zuzugreifen, die bis dahin als unerreichbar für die meisten Anwendungen galten. Weitere Informationen zu diesem Angriffsmechanismus finden Sie auf dem Bitdefender Labs Blog.
Ein technisches Whitepaper beschreibt die Details, und es gibt ein Demovideo "Protecting against SWAPGS Attack via Hypervisor Introspection". Weitere Informationen finden sich im Bitdefender Business Insights Blog. Forbes hat noch einen Artikel dazu. Heise hat einen deutschsprachigen Artikel mit einigen zusätzlichen Information zu diesem Thema publiziert. So lässt sich der Angriff nur lokal ausführen.
Anzeige
"… Verwendung eines spezifischen Befehls des Windows Betriebssystems …" ist NICHT richtig:
1. SWAPGS ist ein (nicht nur von Windows genutzter) privilegierter(!) Befehl der 64-bittigen Intel- und AMD-Prozessoren; siehe https://www.felixcloutier.com/x86/swapgs! Im 32-bit-Modus ist SWAPGS ein ungültiger Befehl, daher sind nur 64-bittige Systeme betroffen.
2. bei 64-bittigem Windows enthält das GS-Register im Benutzermodus die Adresse des TEB (Thread Environment Block; https://msdn.microsoft.com/en-us/library/ms686708.aspx); bei 32-bittigem Windows wird hierfür das FS-Register benutzt.
3. Windows nutzt das GS-Register und SWAPGS wie von AMD (die haben die 64-bit-Erweiterung mit dem Athlon64 "erfunden") und Intel vorgesehen; verkackt hat es einzig Intel.
"Microsoft hat Update für Windows bereitgestellt."
Das ist mir ein bisschen dünn. Welche Windows-Versionen sind betroffen, und für welche Windows-Versionen gibt es Patches?
Geht man in das MS-Security-Portal und schaut unter CVE-2019-1125 nach, werden die aufgelistet.
Der Patch wurde in die Juli 2019 Monthly Rollup sowie Technical Only Updates integriert.
Es sollte natürlich Security Only heissen, aber das wissen die Blog-Leser auch selber
Im Juli? Tja, Pech… da gab es bekanntlich gar kein Security-only-Update, sondern nur das Securitelemetry-Update.
Wenn ich mich nun zwischen Teufel und Beelzebub entscheiden muss, dann gehe ich lieber das Risiko ein, das nur bei ganz bestimmten Konstellationen greift. Angesichts der zahlreichen sowieso nicht gepatchten Intel-Sicherheitslücken …mal schauen, was an AMD-Mainboards angeboten wird.
Das Telemetrie-Zeugs war nur das Beigemüse im Security Only Update, das kommt jetzt wahrscheinlich jeden Monat, werden wir nächste Woche dann sehen.
Zur Telemetrie bei Windows 7:
Habs bereits in einem anderen Kommentar geschrieben, drauflassen und deaktivieren.
„nur"??? Wenn man in ein ausdrücklich als „Security-Only" deklariertes Update heimlich Komponenten zum Nachteil des Benutzers mischt, dann ist das nicht „nur Beigemüse", dann ist das ein Knollenblätterpilz im Salat.
Da habe ich ernste Zweifel, ob ich mit dem Deaktivieren nach Kochrezept wirklich alle schädlichen Komponenten (Win10-Vorbereitungs-Patch!) erwische.
Wer solche Sicherheitsupdates kriegt, braucht gar keine externen Angreifer.