ExSpectre: Forscher verstecken Malware in harmlosen Apps

Sie nutzen dafür die schon durch Meltdown und Spectre bekannt gewordene spekulative Ausführung. Der Schadcode kann weder in der harmlosen App noch später im Speicher entdeckt werden. Software-Patches halten die Forscher zudem für wirkungslos.

Forscher haben erneut eine Möglichkeit gefunden, die von modernen Prozessoren genutzte spekulative Ausführung von Befehlen für das Einschleusen von Schadsoftware zu missbrauchen. Es handelt sich allerdings nicht um eine neue Spectre-Variante, um Speicherinhalte auszulesen. Der ExSpectre genannte Angriff nutzt die spekulative Ausführung stattdessen, um gefährlichen Code zu verstecken.

Malware (Bild Shutterstock)Nach Angaben eines Forscherteams der University of Colorado Boulder (UCB) lässt sich eine eigentlich harmlose App, die Nutzer bedenkenlos auf ihren Systemen installieren, für das Einschleusen von Schadcode verwenden. Dieser Code kann demnach nicht einmal von Sicherheitsanwendungen aufgespürt werden.

Tatsächlich sind die Binärdateien aber so konfiguriert, dass sie nach Erhalt eines externen Auslösers spezielle Threads per Speculative Execution starten, die wiederum die harmlose App dazu bringen, schädliche Aktionen auszuführen.

„Wir zeigen dies anhand der OpenSSL-Bibliothek als gutartiges Trigger-Programm und aktivieren ein bösartiges Payload-Programm, wenn sich ein Angreifer wiederholt mit dem infizierten OpenSSL-Server über eine TLS-Verbindung mit einer bestimmten Verschlüsselungssuite verbindet“, teilten die Forscher mit. Zudem sei es möglich, verschlüsselte Speicherbereiche zu entschlüsseln, oder Apps so zu manipulieren, dass sie eine lokale Shell öffnen, was es wiederum erlaubt, Befehle auf dem System des Opfers auszuführen.

„Als ich dieses Papier zum ersten Mal sah, dachte ich sofort, dass dies eine sehr ordentliche Möglichkeit ist, Malware zu verstecken“, ergänzte Daniel Gruss, einer der Entdecker der Meltdown- und Spectre-Lücken. „Eine sehr interessante Idee. Sie zeigt, dass die spekulative Ausführung auch auf andere schädliche Arten eingesetzt werden kann.“ Der Angriff zeige aber auch, dass es außer Spectre und Meltdown noch mehr Möglichkeiten gebe, die spekulative Ausführung für schädliche Zwecke einzusetzen.

Die Forscher betonen, dass es derzeit nicht möglich ist, ExSpectre-Angriffe auf Softwareebene aufzuhalten. Tatsächlich sei wahrscheinlich nur eine neue Hardware-Generation in der Lage, Abhilfe zu schaffen. Diese Einschätzung wird auch von einem von Google-Mitarbeitern veröffentlichtes Whitepaper (PDF) untermauert.

Whitepaper

SAP S/4HANA trifft ECM: Was Sie für eine erfolgreiche Migrationsstrategie beachten sollten

Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.

Themenseiten: Prozessoren, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu ExSpectre: Forscher verstecken Malware in harmlosen Apps

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *