Patches verfügbar, jedoch enorme Leistungseinbußen möglich

Dem Hersteller Intel wurden die entdeckten Lücken bereits Mitte 2018 mitgeteilt. Daraufhin wurden bereits Korrekturen erarbeitet und auch Updates entwickelt und verteilt, die teilweise schon ausgeliefert wurden. Durch die Patches ergeben sich jedoch im worst-case bis zu 50% weniger Rechenleistung, da verschiedene Optimierungen auf den betroffenen CPUs verändert und auch abgeschaltet werden müssen. Aus diesem Grund werden z.B. die Aktualisierungen bei Server-Systemen nicht automatisch aktiviert und eine zusätzliche Aktion seitens des Administrators wird benötigt, um den Patch wirksam zu machen.

Großes Problemfeld CPU-Optimierungen

Wie schon bei den ersten entdeckten CPU-Lücken Spectre und Meltdown basieren die Schwachstellen auf verschiedenen in den letzten Jahren eingeführten Optimierungstechnologien zur Steigerung der CPU-Leistung. Um CPU-Leistung bestmöglich zu nutzen, werden oft verschiedene Aufgaben schon parallel und im Vorhinein ausgeführt. Nicht immer werden die Ergebnisse benötigt bzw. können auch ungültig sein – in solchen Fällen werden diese dann normalerweise wieder verworfen. Die so „spekulativ“ errechneten Daten sind zu wenig gut in der CPU geschützt und stellen die Ausgangslage für verschiedene Schwachstellen in aktuellen CPU-Designs dar. Betroffen sind nahezu alle Entwicklungen der letzten Generationen. In den nun beiden neu identifizierten Lücken ist es wiederum möglich, entweder direkt auf Daten oder zumindest auf verschiede Metadaten von benachbart ausgeführten Prozessen auf physikalischen CPUs unerlaubt zuzugreifen. Es existieren dazu verschiedene Demos und Beispiele, die mögliche Anwendung und Ausführung der Sicherheitslücken darstellen. Szenarien wären das Umgehen von Festplattenverschlüsselung oder auch die Mitprotokollierung und Analyse von anderen Prozessen und Sitzungen.

Grundlegende Überarbeitung und Verbesserung der CPU-Sicherheit nötig

Intel hat auf die gefundenen Probleme bereits reagiert, die seit Anfang 2019 ausgelieferten CPUs sind nicht mehr von den Problemen betroffen. In den letzten Monaten wurden mehrere dieser verschiedenen Probleme und Schwachstellen identifiziert, welche der CPU-Branche einiges Kopfzerbrechen bereiteten. Da hier mögliche Angriffe sehr tief im System stattfinden, ist es auch sehr schwierig, ein Ausnützen der Lücken zu entdecken und zu verhindern. Für Besitzer betroffener Systeme wird kein Weg daran vorbeiführen, die verfügbaren Updates einzuspielen und mit eventuellen Leistungsverminderungen zu leben. Eine Übersicht der aktuellen Angriffsmethoden ist auf den Websites https://zombieloadattack.com/ und https://cpu.fail zu finden, wo die einzelnen Probleme und mögliche Auswirkungen aufgearbeitet und auch Demos und FAQs erklärt werden.

Besonders die Nutzer von Cloud-Systemen sollten sich dieser möglichen Risiken bewusst sein. Verschiedene deutlich exponierte Systeme (z.B. besonders vertrauliche Daten oder auch eine hohe Anzahl von verschiedenen Nutzern) haben eine höhere Wahrscheinlichkeit für Angriffe oder Ausnutzung der Lücken. Daher sollten diese Anwender eine besondere Risikoabschätzung durchführen und mögliche Gegenmaßnahmen analysieren.