Cachebleed: Intel-Prozessoren geben SSL-Schlüssel preis

Sicherheitsforschern ist es gelungen, einen Fehler von bestimmten Intel-Prozessoren auszunutzen, um über Cache-Zugriffe der CPU die privaten Schlüssel von Verschlüsselungslösungen wie OpenSSL und LibreSSL auszuspähen. Der Cachebleed genannte Angriff ist den Forschern zufolge der erste funktionierende Exploit für die von Intel bereits 2004 beschriebenen Cache-Bank-Konflikte.

Betroffen ist in erster Linie Intels Sandy-Bridge-Mikroarchitektur, die 2011 auf den Markt gekommen ist. Ältere Mikroarchitekturen wie Nehalem und Core 2 sind möglicherweise auch anfällig. „Unser Angriff funktioniert nicht mit Intel-Haswell-Prozessoren, bei denen Cache-Bank-Konflikte offensichtlich kein Problem mehr sind“, schreiben Yuval Yarom von der University of Adelaide, Daniel Genkin von der Tel Aviv University und Nadia Heninger von der University of Pennsylvania in einem Advisory.

Getestet haben sie Cachebleed mit einem Intel Xeon E5-2430 sowie OpenSSL 1.0.2f und LibreSSL 2.3.1. Wahrscheinlich funktioniere der Angriff auch mit OpenSSL 0.9.7h und neuer inklusive den Versionen 1.0.1r und 1.0.2f sowie allen anderen Versionen von LibreSSL, so die Forscher. Eine Code-Prüfung von NSS 3.21 lege zudem die Vermutung nahe, dass auch NSS anfällig sei.

Cachebleed richtet sich speziell gegen die RSA-Implementierung. „Unser Angriff kann 2048-Bit- und 4096-Bit-RSA-Schlüssel aufdecken“, ergänzten die Forscher. Dafür hätten sie lediglich 16.000 Schlüssel-Operation auswerten müssen. „Das passiert, obwohl die RSA-Implementierung in OpenSSL so entwickelt wurde, dass sie gegen Cache-basierte und andere Seitenkanalangriffe schützt.“

Den Entwicklern von OpenSSL, LibreSSL und der NSS-Bibliothek ist das Problem seit Anfang Januar bekannt. Open SSL verteilt seit dem 1. März ein Update für die Schwachstelle mit der Kennung CVE-2016-0702. Wann Fixes für LibreSSL und NSS zur Verfügung stehen werden, ist bisher nicht bekannt.

Das von der Sicherheitslücke ausgehende Risiko stufen die Forscher jedoch als gering ein. Ein Angreifer muss, um die Anfälligkeit ausnutzen zu können, in der Lage sein, Code auf dem Rechner seines Opfers auszuführen. „Cachebleed ist ein komplexer Angriff und es gibt leichter auszunutzende Anfälligkeiten in PCs, sodass es unwahrscheinlich ist, dass jemand in einer derartigen Umgebung Cachebleed benutzt“, vermuten die Forscher. Auch für Cloud-Server, die keine hardwarebasierten Angriffe wie Cachebleed verhinderten, sei das Risiko in der Praxis nur sehr gering.

Die Forscher weisen zudem darauf hin, dass der Cachebleed-Angriff nur zwischen Prozessen funktioniert, die von zwei Hyper-Threads desselben Prozessorkerns ausgeführt werden. Die Deaktivierung von Hyper-Threading sei deswegen ein geeignetes Mittel, um sich gegen Cachebleed zu schützen.

Tipp: Wie gut kennen Sie sich mit Prozessoren aus? Überprüfen Sie Ihr Wissen – mit dem Quiz auf silicon.de.