Welche Systeme sind betroffen?
Der SWAPGS-Angriff betrifft neuere Intel-CPUs, die spekulative Ausführung nutzen.
Der SWAPGS-Angriff betrifft neuere Intel-CPUs, die spekulative Ausführung nutzen.
In ihrem Bemühen um immer schnellere CPUs haben Hersteller verschiedene Ausprägungen der spekulativen Ausführung implementiert. Bei dieser Funktion stellt die CPU fundierte Vermutungen über möglicherweise erforderliche Befehle an, bevor sie ermittelt, ob diese tatsächlich erforderlich sind. Diese spekulative Ausführung kann Spuren im Cache hinterlassen, die dann von Angreifer ausgenutzt werden können, um einen Speicherleck im privilegierten Kernel-Speicher zu verursachen.
Dieser Angriff nutzt eine Kombination aus der spekulativen Ausführung eines bestimmten Befehls (SWAPGS) durch Intel und der Verwendung dieses Befehls durch Windows-Betriebssysteme innerhalb eines so genannten Gadgets.
Was die Erforschung dieser Angriffe im Vergleich zu Cyberangriffen auf herkömmliche Schwachstellen so innovativ macht, ist die Tatsache, dass sie die Funktionsweise moderner CPUs im Detail ergründet. Für eine ordnungsgemäße Untersuchung müssen die Forschungsteams CPU-Abläufe (Sprungvorhersage, Out-of-Order Execution, Speculative Execution, Pipeline und Caches), betriebssysteminterne Abläufe (Systemaufrufe, Interrupt- und Ausnahmebehandlung und KPTI) sowie Seitenkanäle und Angriffe mit spekulativer Ausführung im Allgemeinen in allen Einzelheiten kennen.
Ungepatchte Windows-Systeme, die auf 64-Bit-Intel-Hardware laufen, sind anfällig für Speicherlecks im sensiblem Kernel-Speicher, auch im Benutzermodus. Der SWAPGS-Angriff umgeht alle bisher bekannten Abwehrverfahren, die gegen frühere Seitenkanalangriffe unter Ausnutzung von Schwachstellen in der spekulativen Ausführung eingesetzt wurden.
Die Behebung dieser Schwachstellen ist überaus kompliziert. Da sie tief in der Struktur und dem Betrieb moderner CPUs verankert sind, können diese Schwachstellen nur beseitigt werden, indem entweder Hardware ausgetauscht oder Funktionen deaktiviert werden, die die Leistung erheblich steigern. Ebenso ist die Entwicklung von Abwehrmechanismen sehr komplex und kann die durch spekulative Ausführungsfunktionen erzielten Leistungsgewinne einschränken. Um beispielsweise die Möglichkeit von Seitenkanalangriffen unter Ausnutzung der spekulativen Ausführungsfunktion von Intel-CPUs gänzlich zu verhindern, müsste Hyper-Threading vollständig deaktiviert werden, was zu erheblichen Leistungseinbußen führen würde.
Seit der Veröffentlichung von Meltdown und Spectre haben Forscher die spekulative Ausführungsfunktion moderner CPUs kritisch untersucht, mit Hauptaugenmerk auf Seitenkanalangriffe, die auf diese leistungssteigernde Funktion moderner CPUs abzielen.
Bitdefender-Sicherheitsforscher hatten mehr als ein Jahr lang mit Intel zusammengearbeitet, bevor dieses neue Angriffsverfahren öffentlich gemacht wurde. Bitdefender arbeitete zudem auch in enger Abstimmung mit Microsoft, das einen Patch entsprechenden entwickelt und veröffentlicht hat. Darüber hinaus wurden auch weitere einschlägige Anbieter in diese Arbeit miteinbezogen.
Bitdefender hat ein ausführliches Whitepaper veröffentlicht, das auch einen den zeitlichen Ablauf der Offenlegung im Detail darlegt und die Untersuchung des Angriffs beschreibt. Bitdefender hat außerdem Blogbeiträge zur Angriffserklärung sowie ein Video mit einer anschaulichen Darstellung veröffentlicht.
"Auch wenn die Installation des Microsoft-Patches dringend empfohlen wird, ermöglicht Bitdefender Hypervisor Introspection eine ausgleichende Steuerung, die Angriffe verhindert."
Bitdefender hat dargelegt, wie Hypervisor Introspection derartige Angriffe unterbindet, indem es die Bedingungen beseitigt, die für einen erfolgreichen Angriff auf ungepatchten Windows-Systemen erforderlich sind. Durch diese Abwehrmaßnahme kommt es zu keinen nennenswerten Leistungseinbußen. Auch wenn die Installation des Microsoft-Patches dringend empfohlen wird, ermöglicht Bitdefender Hypervisor Introspection eine ausgleichende Steuerung, bis die Systeme gepatcht werden können.
Hypervisor Introspection analysiert den Speicher von Gast-VMs und identifiziert interessierende Objekte. Bitdefender hat diese Schwachstelle noch vor der Veröffentlichung eines geeigneten Patches entschärft, indem es jeden anfälligen SWAPGS-Befehl instrumentiert hat, um sicherzustellen, dass er nicht spekulativ ausgeführt wird und so Speicherlecks im Kernel verhindert.
Trotz aller Bemühungen fällt es vielen Unternehmen schwer, Patches schnellstmöglich bereitzustellen. Mit Hypervisor Introspection können sie die Zeit zwischen der Veröffentlichung und der Installation von Patches für schwerwiegende Sicherheitslücken überbrücken.
Hypervisor Introspection gibt es nur bei Bitdefender. Aktuell wird es von Citrix Hypervisor, Xen und KVM als Technologievorschau unterstützt.
Hypervisor Introspection nutzt die inhärenten Vorteile, die sich aus der Position von Hypervisoren gegenüber der zugrundeliegenden Hardware und den virtualisierten Betriebssystemen ergeben, einschließlich Windows, Linux und virtuellen Desktop- und Server-Maschinen. Hypervisor Introspection prüft in Echtzeit den Rohspeicher laufender virtueller Maschinen. Dabei sucht sie nach Anzeichen speicherbasierter Angriffsverfahren, die systematisch zur Ausnutzung bekannter und unbekannter Schwachstellen verwendet werden.
Hypervisor Introspection ist ein überaus wirkungsvoller Sicherheitsansatz, den es nur bei Bitdefender gibt. Die Forschungs- und Entwicklungsabteilung von Bitdefender arbeitete mit dem Xen-Projekt zusammen, um die Virtual Machine Introspection (VMI) innerhalb des Xen-Hypervisors zu erweitern. Citrix hat die Funktionalität in Citrix Hypervisor unter den Namen Direct Inspect APIs übernommen. Bitdefender arbeitet auch weiterhin mit der KVM- und anderen Open-Source-Communities zusammen, zusätzlich zur weiteren Forschung und Entwicklung für nicht-virtualisierte Szenarien wie eingebettete Systeme.
Ein weiteres viel beachtetes Beispiel für die Fähigkeiten der Hypervisor Introspection stammt aus der Zeit vor der Veröffentlichung von EternalBlue, das später in der WannaCry-Ransomware-Welle zum Einsatz kam. Ohne Kenntnis des konkreten Cyberangriffs oder der zugrundeliegenden Schwachstelle blockierte Hypervisor Introspection den Angriff, weil dieser eine Pufferüberlauf-Angriffstechnik nutzte.
Das Nutzen von Pufferüberläufen zur Ausnutzung von Schwachstellen ist zwar nicht neu, aber der schnelle Einsatz von EternalBlue durch die WannaCry-Angreifer hat einmal mehr gezeigt, dass wichtige Patches von Unternehmen oft nicht rechtzeitig installiert werden können, um Cyberangriffe zu verhindern. Unabhängig davon, ob es sich dabei um bewährte Angriffstechniken wie Pufferüberläufe, Heap Spraying und Code-Injektion oder um komplexe Angriffe handelt, die Schwachstellen tief in den Hardware-Funktionen ausnutzen, ist es unausweichlich, dass Unternehmen einen neuen Sicherheitsansatz wie Hypervisor Introspection in ihre Sicherheitsstruktur einbinden.
Hypervisor Introspection verdeutlicht, wie Sicherheits-, Hardware-, Virtualisierungs- und Betriebssystemhersteller zusammenarbeiten können, um wirkungsvolle neue Sicherheitsansätze zu entwickeln, die in der Lage sind, immer neue und immer komplexere Angriffe aufzuhalten.
Der SWAPGS-Angriff nutzt über einen Seitenkanalangriff eine Schwachstelle im spekulativen Ausführungssystem moderner Intel-CPUs aus. Dieser Angriff umgeht auch Schutzmechanismen, die zur Abwehr früherer Angriffe implementiert wurden. Da der Angriff den SWAPGS-Befehl bei spekulativer Ausführung ausnutzt, wird dringend empfohlen, entsprechende Patches für Betriebssysteme einzuspielen, auf denen SWAPGS spekulativ verwendet werden kann. Laut den Untersuchungen des Bitdefender-Teams, das den SWAPGS-Angriff aufgedeckt hat, beschränken sich die bekanntermaßen anfälligen Systeme auf solche, auf denen das Windows-Betriebssystem auf modernen Intel-CPUs läuft, die eine spekulative Ausführung unterstützen. Bis zum Einspielen dieser Patches wird dringend empfohlen, Workloads, die auf anfälligen Betriebssystemen laufen, auf Hosts zu auszulagern, auf denen Bitdefender Hypervisor Introspection über Citrix Hypervisor oder Xen läuft.
Im Mai 2019 fasste ein Bitdefender-Blogbeitrag die Forschung zu einem weiteren Seitenkanal-Angriffsmechanismus zusammen, der ebenfalls auf spekulativer Ausführung basiert. Zu diesem Zeitpunkt erklärten wir uns bereit, die Veröffentlichung des ausführlichen Whitepapers über die entdeckten Seitenkanalverfahren bei spekulativer Ausführung zurückzuhalten. Dies wird auch in dem im Whitepaper dargelegten zeitlichen Ablauf der Offenlegung beschrieben. Das Whitepaper mit dem Titel "Security implications of speculatively executing segmentation related instructions on Intel CPUs" wurde von den beiden Forschern verfasst, die schon für das Whitepaper zum SWAPGS-Angriff verantwortlich waren. Sie finden das Whitepaper hier.
A. Als sensible Daten gelten alle Daten, die von Angreifern missbraucht werden können, um einen Angriff zu erweitern. Das können zum Beispiel Zeiger oder Adressen sein, die es einem Angreifer ermöglichen, seine Rechte auszuweiten. Ein Angreifer könnte auch weitere sensible Daten wie Passwörter, Verschlüsselungsschlüssel, Token oder Anmeldeinformationen aus dem Kernel-Speicher exfiltrieren.
A. Wenn die ursprünglich erbeuteten Daten es den Cyberkriminellen ermöglichen, einen Angriff zu erweitern (z. B. durch Rechteausweitung), ist dies möglich.
A. Betroffen sind alle Intel-CPUs, die SWAPGS- und WRGSBASE-Befehle unterstützen. Das bedeutet im Grunde alles von Intel Ivy Bridge (eingeführt 2012) bis hin zu den neuesten Prozessorserien am Markt.
A. Jedes Gerät mit einer Intel Ivy Bridge oder neueren CPU: Desktops, Laptops, Server usw. Diese Schwachstelle betrifft sowohl Privatanwender als auch Unternehmen.
A. Wir gehen davon aus, dass Apple-Geräte NICHT anfällig sind, aber wir müssen die offizielle Stellungnahme abwarten, sobald alle Informationen veröffentlicht sind.