SWAPGS Attack: Bitdefender findet neue Schwachstelle in Intel-Prozessoren

Bitdefender hat mit SWAPGS Attack eine neue Schwachstelle entdeckt, die jeden Windows-Computer mit einem seit 2012 gebauten Intel-Prozessor (Ivy Bridge) betrifft. Sie kann Angreifern ermöglichen, Sicherheitsvorkehrungen zu umgehen und auf Informationen zuzugreifen, die sich im geschützten Kernel-Speicher eines Systems befinden. In einem Whitepaper finden sich detaillierte Informationen zu SWAPGS Attack.

Dieser neue Seitenkanalangriff basiert auf früheren Untersuchungen zu anderen CPU-Schwachstellen wie Spectre und Meltdown. SWAPGS Attack kann die Schutzfunktionen umgehen, die zur Abwehr von Spectre und Meltdown implementiert wurden. Der Fehler wurde SWAPGS Attack genannt, weil er SWAPGS ausnutzt, eine Anweisung für x86/x64-CPUs, die zur Adressierung des geschützten Speichers genutzt wird, der für den Kernel vorgesehen ist. „Da die SWAPGS-Anweisung nur auf x86-64 vorhanden ist, erwarten wir nicht, dass andere CPU-Architekturen wie ARM, MIPS, POWER, SPARC oder RISC-V verwundbar sind. Wir schließen jedoch nicht aus, dass es andere ähnlich empfindliche Anweisungen gibt, die spekulativ ausgeführt werden können.“, teilt Bitdefender mit.

Angreifer, die SWAPGS Attack [CVE-2019-1125] nutzen, können damit heimlich sensible Informationen von einem Zielcomputer überwachen und stehlen – ohne eine Spur von einem Angriff auf die Hardware zu hinterlassen. Nach Angaben von Microsoft kann die Schwachstelle nur ausgenutzt werden, wenn der Angreifer lokalen Zugriff auf den Rechner hat. Die Schwachstelle erlaubt dem Angreifer keine direkte Erweiterung der Benutzerrechte. Aber durch die Sicherheitslücke könnte der Angreifer an Informationen gelangen, mit denen er das betroffene System weiter gefährden könnte. Dementsprechend ist CVE-2019-1125 mit einem relativ niedrigen CVSS-Score von 5,6 von 10 eingestuft. Microsoft hat die Schwachstelle im Rahmen des Patch-Tuesday im Juli bereits geschlossen.

Der Angriffsmechanismus nutzt die spekulative Ausführung, eine CPU-Optimierung, bei der die Prozessoren versuchen, im Voraus zu überlegen, welche Operationen als nächstes ausgeführt werden könnten, und diese Anweisungen in den schnellen On-Chip-Cache-Speicher zu laden. Jede Windows-Maschine mit einem seit 2012 hergestellten Intel-Prozessor nutzt diese Art der Beschleunigung.

Die spekulative Ausführung kann jedoch Spuren im Cache hinterlassen, sodass Hacker möglicherweise einen Seitenkanalangriff auf Schwachstellen in der Hardware durchführen können, um Informationen über Daten im geschützten Kernelspeicher zu sammeln. Der Angreifer kann dann Informationen über die im CPU-Cache und damit im Systemspeicher gespeicherten Daten ableiten und zusammenfügen, indem er das Verhalten des Systems als Reaktion auf sorgfältig ausgearbeitete Anforderungen zum Laden von Daten analysiert.

Mit genügend Zeit könnten Angreifer diese Technik nutzen, um riesige Mengen an sensiblen Daten zu sammeln – insbesondere wenn es sich um Server handelt, die als Drehscheibe für eine ganze Organisation dienen. Und da der Angriff für den Benutzer nicht offensichtlich ist, könnte er möglicherweise von einem gut ausgestatteten Hackingunternehmen ausgenutzt werden.

„Betrachte dies nicht als das nächste große Werkzeug, um Ransomware oder normale Malware auszunutzen, denn so läuft es nicht. Ein Seitenkanalangriff ist zeitaufwendig und benötigt Stunden, um Informationen aus der CPU zu holen. Für einen Cyberkriminellen, der versucht, schnelle Informationen in die Finger zu bekommen, gibt es Phishing“, erklärt Bogdan Botezatu von Bitdefender gegenüber ZDNet.com. „Aber für einen staatlich geförderten Bedrohungsakteur, der eine hochkarätige Organisation ins Visier nimmt, ist dieses Ding Gold“, fügte er hinzu.