Ungeschützte Return-Befehle

Mithilfe solcher Spekulationen wird der Fluss der Befehlskette verbessert und die Rechenleistung der Prozessoren erhöht. Falls die spekulativen Berechnungen nicht benötigt werden, werden sie rückgängig gemacht. Auch diese Spekulationen hinterlassen Spuren im Cache-Speicher, die eine Hintertür für Angreifer öffnen. Diese Sicherheitslücke wurde ebenfalls im Januar 2018 unter dem Namen «Spectre» öffentlich gemacht und betrifft die Prozessoren der Hersteller Intel und AMD. Seither haben Intel und AMD sowie grosse Software-Hersteller wie Microsoft Vorkehrungsmassnahmen ergriffen. Die Schwachstellen der spekulativen Berechnungen sind jedoch bis heute weder abschliessend erforscht, noch behoben.

Wie Razavi und Wikner nun herausgefunden haben, gibt es tatsächlich ein bisher nicht behobenes Sicherheitsproblem: «Wir haben gezeigt, dass bei spekulativen Berechnungen besonders viele Return-Anweisungen ungeschützt sind und missbraucht werden können», sagt Johannes Wikner. Im Prinzip funktioniert «Retbleed» wie die Variante 2 von «Spectre» und betrifft die Mikroprozessoren von Intel und AMD. «Da die bisher getroffenen Vorkehrungsmassnahmen die Return-Anweisungen nicht berücksichtigten, sind die meisten bestehenden Mikroprozessoren und Computersysteme für ‹Retbleed› anfällig», ergänzt Razavi. «Es braucht jedoch einiges an Computerfachwissen, um sich den Speicherzugriff zu verschaffen und Information zu stehlen», sagt Wikner.

Im Februar haben Razavi und Wikner den Nachweis erbracht (engl. «Proof of Concept»), dass «Retbleed» ein ernsthaftes Problem darstellt. Inzwischen sind ihre Ergebnisse einem Fachartikel veröffentlicht, der als Konferenzbeitrag der USENIX Security 2022 akzeptiert worden ist. In diesem Artikel haben Razavi und Wikner den ersten Ansatz von Intel und AMD zur Lösung dieses Problems untersucht. Dieser Ansatz setzt dabei an, dass die Befehle, wenn der Mikroprozessor an einer Verzweigung spekuliert, manchmal falsch ausgeführt werden. Dann führt die Berechnung nicht zum richtigen Ziel und eröffnet ein Leck, durch das Angreifer Zugriff auf die Informationen im Speicher erhalten. Derzeit besteht die Lösung darin, zu verhindern, dass Angreifer die Entscheidung der Mikroprozessoren für Ziele der Return-Befehle beeinflussen. Leider geht dies mit einem erheblichen Leistungsverlust einher, der Computer um 12 bis 28 Prozent langsamer macht.

Wie in solchen Fällen üblich, haben die Sicherheitsforschenden zuerst die betroffenen Hersteller AMD und Intel informiert, bevor die Sicherheitslücke veröffentlicht wird. Da die konkreten Sicherheitsrisiken auch von der unternehmensspezifischen Prozessorarchitektur abhängen, benötigen die Hersteller Zeit, um vertiefte Vorkehrungen zu ergreifen. Seither haben unter anderem Microsoft, Oracle, Google, Linux, Intel, AMD, ARM an Schutzmassnahmen gearbeitet, bevor «Retbleed» heute öffentlich bekannt gemacht wurde. Ein Intel-Mikroprozessor, der 3 bis 6 Jahre alt ist, oder ein AMD-Prozessor, der 1 bis 11 Jahre alt ist, ist aller Wahrscheinlichkeit nach betroffen.