Suchen

Definition ZombieLoad (Sicherheitslücke) Was ist ZombieLoad?

Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

ZombieLoad ist eine 2019 veröffentlichte Sicherheitslücke verschiedener Intel-Prozessoren. Sie stört die Abschottung der Speicherbereiche gleichzeitig auf einer CPU laufender Prozesse und gestattet den unbefugten Zugriff. Selbst Prozesse, die in unterschiedlichen virtuellen Maschinen laufen, sind betroffen. Patches oder das Abschalten des Hyper-Threadings zum Schutz vor ZombieLoad sind mit Leistungseinbußen verbunden.

Firmen zum Thema

ZombieLoad ist eine Sicherheitslücke in Intel-Prozessoren, die durch eine Seitenkanalattacke das Auslesen von Speicherbereichen fremder Prozesse erlaubt.
ZombieLoad ist eine Sicherheitslücke in Intel-Prozessoren, die durch eine Seitenkanalattacke das Auslesen von Speicherbereichen fremder Prozesse erlaubt.
(Bild: gemeinfrei / CC0 )

Die Sicherheitslücke ZombieLoad wurde von mehreren Sicherheitsforschern verschiedener Organisationen entdeckt und im Jahr 2019 veröffentlicht. Teilweise waren daran auch Sicherheitsforscher beteiligt, die 2018 die Sicherheitslücken Meltdown und Spectre entdeckten. Betroffen von der Sicherheitslücke sind verschiedene Intel-Prozessoren. Wie bei Spectre oder Meltdown handelt es sich bei ZombieLoad um eine sogenannte Seitenkanalattacke, die den unbefugten Zugriff und das Auslesen von eigentlich geschützten Speicherbereichen fremder Prozesse erlaubt. So kann mit geeignetem Schadcode unter Umständen auf sensible Daten wie Passwörter zugegriffen werden.

Selbst wenn Prozesse in unterschiedlichen virtuellen Maschinen (VMs) aber auf gleichen Prozessorkernen laufen, funktioniert die Angriffsmethode. ZombieLoad wird zu den Microarchitectural Data Sampling Attacken (MDS-Attacken) gezählt. Betroffen von der Schwachstelle ist eine Vielzahl der von Intel seit 2011 hergestellten Prozessoren mit Hyper-Threading. Neueste Prozessoren sollen gegen das Angriffsszenarium geschützt sein. Für die betroffenen Prozessoren existieren zum Teil Microcode-Updates. Betriebssysteme und verschiedene Programme wie Webbrowser lassen sich per Patch schützen. Eine weitere Schutzmaßnahme ist das Abschalten des Hyper-Threadings. Alle Schutzmaßnahmen sind mit mehr oder weniger großen Leistungseinbußen des Prozessors verbunden.

Betroffene Systeme

Grundsätzlich sind nur bestimmte Prozessoren des Herstellers Intel von der Schwachstelle betroffen. Prozessoren von AMD oder Prozessoren mit ARM-Architektur, wie sie beispielsweise in Smartphones oder Tablets verwendet werden, sind gegenüber ZombieLoad nicht anfällig. Zu den betroffenen Intel-Prozessoren zählt beispielsweise ein Großteil der seit 2011 hergestellten Core-i- und Xeon-Prozessoren (außer die der jüngsten Versionen wie die Core i-9000-Prozessoren (Coffee Lake Refresh) ab Stepping 13 (R0)). Auch einige Intel-Prozessoren für mobile Geräte wie die Intels Atom-SoCs sind für Angriffsmethode anfällig.

Technischer Hintergrund der Sicherheitslücke

Wie Spectre oder Meltdown basiert ZombieLoad auf einem Seitenkanalangriff auf die Mikroarchitektur des Prozessors. Die Angriffsmethode macht sich die spekulative Ausführung von Code zunutze, die in modernen Intel-Prozessoren zur Performancesteigerung zum Einsatz kommt. Daten im Zwischenspeicher können offen liegen und eigentlich geschützte Daten sichtbar gemacht werden. Das von Intel verwendete Hyper-Threading, das auf einem Prozessorkern mehrere Threads gleichzeitig abarbeitet und Prozessorressourcen zwischen den Threads teilt, sorgt für das gute Funktionieren der Angriffsmethode. Selbst bei Prozessen, die in verschiedenen virtuellen Maschinen (VMs) laufen, ist der unbefugte Speicherzugriff möglich. Allerdings kann im Gegensatz zu Meltdown kein gezielter Angriff auf bestimmte Daten erfolgen. Der Angreifer muss so viele Daten fremder Prozesse wie möglich sammeln, um an eventuell sensible Daten zu gelangen.

Maßnahmen zum Schutz gegen ZombieLoad

Grundlegenden Schutz gegenüber der Angriffsmethode bietet die Verwendung der jüngsten Prozessorgenerationen von Intel. Für ältere von der Sicherheitslücke betroffene Prozessoren hat Intel Microcode-Updates veröffentlicht. Auch für Betriebssysteme wie Windows, Linux oder macOS, die auf Systemen mit anfälligen Prozessoren laufen, existieren Patches. Eine weitere Schutzmaßnahme ist das Abschalten des Hyper-Threadings. Sämtliche Schutzmaßnahmen sind mit mehr oder weniger großen Leistungseinbußen des Systems verbunden.

(ID:46502253)

Über den Autor