Intel und Experten warnen vor Foreshadow-Lücke in Intel-CPUs

Zwei Teams von Sicherheitsexperten melden die Entdeckung einer neuen Sicherheitslücke, von der alle aktuellen Intel-CPUs betroffen sein sollen. Die Lücke wurde auf den Namen Foreshadow getauft. Die Entdeckung erfolgte bereits im Januar. Zunächst von einem Team der KU Leuven und später unabhängig davon von Sicherheitsforschern der Universität von Michigan. Intel wurde umgehend informiert, so dass genügend Zeit für eine Reaktion und Updates blieben.

Nach dem Ende des Embargos hat Intel nun die Lücke in einer Mitteilung offiziell gemeldet und nennt sie selbst „L1 Terminal Fault“ oder kurz „L1TF“. Eine Erklärung für Foreshadow bzw. L1TF liefert Intel in dem folgenden Youtube-Video:

Die „Foreshadow“-Attacken zielen auf Intels Security Guard Extensions (SGX) aller Core-Prozessoren. Wie Intel erläutert, wurde SGX so designt, dass es Programmcode vor dem Auslesen oder vor einer Veränderung schützt. Selbst dann, wenn das BIOS, die virtuelle Maschine, Treiber oder das Betriebssystem bereits von einem Angreifer erfolgreich kompromittiert sind und er so also schon die Kontrolle über das System erhalten hat. Alle Prozessoren ab der 7ten Core-Generation (Skylake, Kaby Lake) und Xeon-Prozessoren verwenden SGX.

Die Foreshadow-Attacke beweist allerdings, dass der Schutz von SGX umgangen werden kann. Dadurch kann nach einem erfolgreichen Angriff auf den geschützten Speicherbereich zugegriffen werden. Foreshadow bedeutet auf Deutsch „Vorahnung“ und wurde als Codename gewählt, weil das CPU-Feature „spekulative Codeausführung“ missbraucht wird. Das Verfahren beschleunigt die Verarbeitung von Befehlen, indem der Prozessor die eingehenden Befehle nicht in der Reihenfolge ihres Eingangs abarbeitet, sondern diese in einem geschützten Speicherbereich so ordnet, dass sie besonders schnell abgearbeitet werden können.

Kein Grund zur Panik - Updates bereits verfügbar

Allerdings besteht laut Intel kein Grund zur Panik. Die im Zuge der Spectre- und Meltdown-Lücken ausgelieferten software-seitigen Microcode-Updates sollen die Nutzer auch vor Foreshadow schützen. Diese und alle künftigen Updates, wie die von Microsoft für Windows, sollten also weiterhin umgehend installiert werden. Für Heimanwender soll die Nutzung der Updates für keine Geschwindigkeitseinbußen sorgen. Im Einsatz in Rechenzentren und Cloud-Diensten kann dies aber sehr wohl der Fall sein.

Laut Angaben von Intel wird hardware-seitig der Foreshadow-Fehler mit dem kommenden Xeon-Prozessor „Cascade Lake“ und alle neuen künftigen Prozessoren behoben, die später in diesem Jahr auf den Markt kommen. Intel weist aber ausdrücklich darauf hin, dass ähnlich wie bei Spectre und Meltdown, bisher keine Attacken in der realen Welt bekannt geworden sind, die auf Foreshadow abzielen.

Microsoft hat zu Foreshadow dieses Security Advisory online gestellt. Entsprechende Updates für alle großen Linux-Distributionen sind ebenfalls bereits verfügbar.

Welche Prozessoren von Intel konkret betroffen sind, lässt sich diesem Intel Security Advisory entnehmen.

Stellungnahme von AMD & so können Sie sich schützen

AMD geht in einer ersten Stellungnahme davon aus, dass seine Prozessoren nicht von Foreshadow betroffen sind. Den Unternehmenskunden, die AMDs Epyc-Prozessoren in Datenzentren einsetzen, wird daher vorerst empfohlen, keine Foreshadow-Updates zu implementieren.

Weitere Tipps, wie Sie sich vor diesen und ähnlichen Angriffen schützen können, entnehmen Sie unserer FAQ zu Meltdown und Spectre.