Plundervolt und V0LTpwn attackieren CPUs per Software Forscher stehlen AES-Keys aus Intel SGX

Autor / Redakteur: M.A. Dirk Srocke / Peter Schmitz |

Unabhängig voneinander haben zwei Forscherteams jetzt erstmals per Software die Integrität von x86-CPUs zerstört – und damit nicht nur geschützte Speicherbereiche angegriffen, sondern auch AES-Passwörter geknackt. Die beiden Angriffsvarianten auf die selbe Schwachstelle heißen Plundervolt und V0LTpwn.

Anbieter zum Thema

Die Fault-Injection funktioniert per Softwareschnittstelle, welche die Spannung in Intel-Prozessoren absenken kann.
Die Fault-Injection funktioniert per Softwareschnittstelle, welche die Spannung in Intel-Prozessoren absenken kann.
(Bild: ©janaka Dharmasena - stock.adobe.com)

Bislang galt es als sicher: Wer die Berechnungen von x86-Prozessoren per Fault-Injection manipulieren will, braucht physischen Zugriff auf die Systeme. Diese Aussage haben Forscher nun widerlegt; zugleich zeigten die Experten damit auch, wie sich SGX-Enklaven angreifen und AES-Schlüssel stehlen lassen.

Entdeckt wurde die mittlerweile als CVE-2019-11157 registrierte Schwachstelle nahezu zeitgleich von zwei unterschiedlichen Forscherteams. Beide haben die Spannung von Intel-Prozessoren systematisch über Softwareschnittstellen abgesenkt: Die Systeme liefen damit zwar noch stabil, konnten auftretende Bitfehler jedoch nicht mehr korrigieren.

Team 1: Plundervolt

Eigenen Angaben zufolge ist das zuerst Forschern von The University of Birmingham, KU Leuven und TU Graz gelungen. Die haben ihre Ergebnisse unter dem Namen Plundervolt publiziert. Zu den Autoren zählen auch Jo Van Bulck (KU Leuven) und Daniel Gruss (TU Graz), die bereits an der Entdeckung von ZombieLoad beteiligt waren.

Auf einer eigens eingerichteten Homepage beschreiben die Wissenschaftler, wie sie sogar die Integrität von Intels Software Guard Extensions (Intel SGX) aushebeln. Per SGX eingerichtete Speicherbereiche sollten vertraulichen Daten eigentlich zusätzlichen Schutz bieten – Informationen insbesondere vor Spionen und Manipulationen bewahren.

Ein ebenfalls hier veröffentlichtes YouTube-Video soll zudem zeigen, wie sich Fehler gezielt ausnutzen lassen. Um einen AES-Schlüssel zu stehlen, senken die Wissenschaftler hierbei die Prozessorspannung um 240 mV und provozieren damit Fehler bei Verschlüsselungsprozessen innerhalb einer SGX-Enklave. Innerhalb von Minuten seien danach per Differential Key Attack Rückschlüsse auf die verwendeten Keys möglich gewesen.

Team 2: V0LTpwn

Die zweite Gruppe um Forscher der TU Darmstadt und University of California hat die Schwachstelle V0LTpwn getauft. Auf unsere Anfrage hin verweist Zijo Kenjar von der TU Darmstadt lediglich auf subtile Unterschiede zu Plundervolt: „Wir haben bei der Untersuchung von Spannungsveränderungen andere Instruktionen herausgefunden, die zu fehlerhaften Berechnungen auf der CPU führen. Beispielsweise zeigt unsere Arbeit eine Sequenz von fehleranfälligen Instruktionen, die unter anderem von vielen kryptografischen Implementierungen genutzt wird.“

Betroffene Prozessoren und Patches

Die als Plundervolt und V0LTpwn beschriebene Schwachstelle wurde Intel im Rahmen einer responsible Disclosure bereits im Juni 2019 zugespielt. Mittlerweile versorgt der Anbieter seine Kunden per INTEL-SA-00289 mit weiteren Details und Empfehlungen.

Demnach sind von dem mit einem CVSS Base Score von „7.9 High“ eingestuften Problem Core-Prozessoren zwischen sechster und zehnter Generation betroffen; anfällig seien auch Xeon-Prozessoren v5 und v6 sowie die Xeon-Familien E-2100 und E-2200.

Als Abhilfe hat der Chiphersteller bereits Firmware-Updates für Systemhersteller veröffentlicht. Von diesen sollen Endanwender auch aktuelle BIOS-Updates beziehen – so der Rat. Für das erste Quartal 2020 sei zudem ein „SGX TCB key recovery“ geplant.

(ID:46297598)