In seiner Vortragsankündigung behauptet Kaspersky, er könne Bugs allein durch Ausführung von Javascript oder TCP/IP-Paketstürme so ausnutzen, dass er anschließend beliebigen Code ausführen kann. Gegen diese Art von Angriffen sind Software-Patches wirkungslos, da die Angreifbarkeit auf Fehlern in der CPU selbst beruht.
Entsprechende Schadsoftware kann darüber hinaus unter jedem Betriebssystem eingesetzt werden. Gelingt es Programmierern mit unlauteren Absichten, derartige Schadsoftware zu entwickeln, so könnten die mittlerweile zum Alltag gehörenden Patchdays bald nutzlos werden.
Für viele CPU-Fehler sind Microcode-Updates verfügbar. Für andere wiederum halten die CPU-Hersteller keine Patches bereit. Microcode-Updates werden meist nach dem Start des Rechners vom BIOS-Startup-Code in den Control Store der CPU geladen. Dadurch führt die CPU Befehle, in der Regel unter Performanceverlust, auf eine andere Art und Weise aus.
Allerdings sind viele Befehle in einer CPU „fest verdrahtet“, so dass sie nicht per Microcode gesteuert werden können. Fehler in fest verdrahteten Befehlen bedingen den Austausch der CPU, um vor der neuartigen Schadsoftware geschützt zu sein. Das würde eine neue Dimension der Cyberkriminalität bedeuten.
Kaspersky lässt in seiner Ankündigung offen, ob sein Schadcode fest verdrahtete Befehle ausnutzen kann. Er weist lediglich darauf hin, dass nicht in jedem BIOS die nötigen Microcode-Updates vorhanden sind. Dem lässt sich jedoch dadurch begegnen, dass die nötigen Updates vom Boot-Loader des Betriebssystems installiert werden.
Ferner enthält die Ankündigung einige Ungereimtheiten. So schreibt Kaspersky von schadbringendem Javascript-Code, der aufgrund bekannter Mechanismen in gängigen JIT-Compilern immer wiederkehrende CPU-Befehlssequenzen erzeuge. Bekanntermaßen wird Javascript-Code jedoch zur Laufzeit interpretiert und nicht kompiliert.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…