Intel hat vier weitere Lücken in seinen Prozessoren entdeckt. Zombieload und Fallout klingen besser als Microarchitectural Data Sampling (MDS), für den Linux-Kernel gibt es Patches.
Die Lücken sind eine weitere Folge der spekulativen Codeausführung in zahlreichen Intel-Prozessoren. Unter anderem ermöglichen sie es einem bösartigen Prozess, der im selben Hyperthread läuft wie ein gutartiger, über interne CPU-Puffer und unter Ausnutzung der spekulativen Code-Ausführung Daten abzuzweigen. So kann zum Beispiel ein Wechsel der Prozessorzustände einen solchen Prozessorspeicher-Puffer mitsamt Daten auf einen anderen Thread verschieben. Im Virtualisierungsumfeld könnten Angreifer von unprivilegierten Gastbetriebssystemen aus oder über Anwendungen, die zusammen mit dem Hypervisor laufen, diese Lücken potenziell ausnutzen.
Angreifer können allerdings nicht gezielt Daten suchen, sondern der Prozess gleicht eher dem Schürfen nach Gold und nennt sich Sampling. Sie zweigen über einen bestimmten Zeitraum Daten aus dem Prozessorspeicher ab und versuchen, daraus mit statistischen Methoden sinnvolle Informationen zu rekonstruieren. Mit viel Glück sind auch interessante darunter, etwa Passwörter. Und es erklärt Intels Namen für die Lücken: Microarchitectural Data Sampling.
Intel wiegelt in seiner offiziellen Mitteilung dementsprechend auch eher ab, verspricht Microcode-Updates für die betroffenen Prozessoren sowie Betriebssystem-Patches. Das Unternehmen betont zudem die Komplexität, die solche Angriffe erfordern. Für die meisten PC-Anwendungen seien die Auswirkungen zudem nur minimal. Generell rät Intel davon ab, Hyperthreading abzuschalten, weil die Auswirkungen der Schwachstellen von Kunde zu Kunde variieren würden.
Patches im Linux-Kernel
Die Entwickler des Linux-Kernel haben bereits Patches gegen Zombieload veröffentlicht und auf ältere Kernel (5.0, 4.19, 4.14 und 4.9) zurückportiert. Sie behandeln alle vier Lücken (CVE-2018-12130, CVE-2018-12126, CVE-2018-12127 und CVE-2019-11091) dabei als ein Problem. Grund sei, dass die Schadensbegrenzung für alle vier Lücken analog funktioniere. Auch wenn Intel selbst es anders darstellt, rät der Admin-Guide des Linux-Kernel, Hyperthreading oder Simultaneous Multithreading (SMT) komplett abzuschalten, will der Admin wirklich auf Nummer sicher gehen. Das hat unschöne Folgen, die sich selbst bei Intels eigenen Messungen in zweistelligen Leistungseinbußen der CPU-Performance manifestieren. Apple spricht von bis zu 40 Prozent Performanceverlust für Multithreading-Workloads.
Hyperthreading abschalten?
Laut dem Kernel-Commit von Thomas Gleixner, der sich auch schon um vorherige Intel-Lücken wie Spectre und Meltdown gekümmert hat, schalte der Kernel Hyperthreading standardmäßig nicht ab, weil sonst unbeaufsichtigte Updates nicht mehr funktionieren. Admins müssen also selbst tätig werden und einen entsprechenden Bootparameter für den Kernel setzen. Die Lücke auch über Javascript im Browser auszunutzen, sei eher schwierig, mit Webassembly zumindest denkbar.
Mehr zu den technischen Details der Sicherheitslücken lässt sich zum Beispiel auf den Kundenseiten von Red Hat nachlesen. Wer prüfen will, ob die Patches bereits auf den eigenen Linux-Rechnern mit Intel-Prozessoren angekommen sind, kann dies über den Befehl “cat /sys/devices/system/cpu/vulnerabilities/mds” tun (Abbildung). Aber, wie Greg Kroah-Hartman es anlässlich des Release von Kernel 5.1.2 formulierte: “Alle Nutzer von Intel-Prozessoren, die seit 2011 erschienen sind, müssen upgraden.”
