Wenn Diebe Schätze stehlen wollen, die von Sensoren und Alarmanlagen umgeben sind, müssen sie manchmal die Stromversorgung unterbrechen und den Stromfluss zu diesen teuren Sicherheitssystemen unterbrechen. Es stellt sich heraus, dass Hacker einen ähnlichen Trick anwenden können: Die Sicherheitsmechanismen von Intel-Chips zu durchbrechen, indem sie an ihrem Netzteil herumspielen und ihre sensibelsten Geheimnisse preisgeben.
Zwei Forscherteams - eines an der Universität Birmingham in Großbritannien, die TU Graz in Wien, die KU Leuven in Belgien und ein weiteres an der Technischen Universität Darmstadt in Deutschland und der University of California - haben eine neue Technik gefunden, mit der Hacker fummeln können mit der Spannung von Intel-Chips, um sie zu veranlassen, Informationen zu verlieren, die mit Intels Secure Guard Extensions-Funktion gespeichert wurden. Diese "sicheren Enklaven" im Speicher eines Geräts sind so konzipiert, dass sie uneinnehmbar sind. Intel, das die Teams in den letzten sechs Monaten aufforderte, ihre Ergebnisse geheim zu halten, bestätigte die Ergebnisse und veröffentlichte ein Update seiner Chip-Firmware, um den Angriff heute zu verhindern.
Die Technik, die eines der beiden Teams als Plundervolt bezeichnet, besteht darin, auf einem Zielcomputer bösartige Software zu installieren, die die Spannung des Stroms, der zu einem Intel-Chip fließt, vorübergehend verringert. Durch diesen Spannungsabfall, der als "Undervolting" bezeichnet wird, können berechtigte Benutzer in der Regel Strom sparen, wenn sie keine maximale Leistung benötigen. (Aus dem gleichen Grund können Sie die Spannungsvarianzfunktion verwenden, um einen Prozessor für intensivere Aufgaben zu "übertakten".) Indem Sie einen Prozessor jedoch vorübergehend um 25 oder 30 Prozent unterbieten und diese Spannungsänderung genau steuern, kann ein Angreifer die Chip, um inmitten von Berechnungen, die geheime Daten verwenden, Fehler zu machen. Diese Fehler können vertrauliche Informationen wie einen kryptografischen Schlüssel oder biometrische Daten enthalten, die in der SGX-Enklave gespeichert sind.
"Das Schreiben in das Gedächtnis braucht Kraft", sagt Flavio Garcia, ein Informatiker an der Universität von Birmingham, der im nächsten Jahr zusammen mit seinen Kollegen die Plundervolt-Forschung auf der IEEE Security and Privacy vorstellen wird. "Sie reduzieren also für einen Moment die CPU-Spannung, um einen Rechenfehler auszulösen."
Als die Forscher herausfanden, dass sie Spannungsänderungen verwenden könnten, um diese Fehler auszulösen - eine sogenannte Fehlerinjektion oder ein Bit-Flip, der in der SGX-Enklave eine Eins zu einer Null macht oder umgekehrt -, zeigten sie, dass sie diese auch ausnutzen könnten. "Wenn Sie beispielsweise bei kryptografischen Berechnungen Bits umdrehen können - und das wird dann interessant -, können Sie den geheimen Schlüssel wiederherstellen", sagt Garcia. In vielen Fällen erklären die Forscher, dass das Ändern eines einzelnen Bits eines kryptografischen Schlüssels zu einer enormen Schwächung führen kann, sodass ein Angreifer sowohl die verschlüsselten Daten entschlüsseln als auch den Schlüssel selbst ableiten kann. Die Auswirkungen auf einen AES-Verschlüsselungsschlüssel können Sie hier sehen:
Die Forscher zeigten auch, dass sie diese Bit-Flips verwenden könnten, um den Prozessor dazu zu bringen, in einen ungeschützten Teil des Speichers zu schreiben, anstatt in die sichere SGX-Enklave:
Die Forscher erkennen an, dass ihr Angriff nicht gerade einfach durchzuführen ist. Damit dies funktioniert, muss der Angreifer seine Malware bereits mit hohen Rechten (Root-Rechten) auf dem Zielcomputer installiert haben. Intel hat jedoch für seine SGX-Funktion geworben, um Korruption oder Diebstahl vertraulicher Daten auch angesichts dieser Art von hochprivilegierter Malware zu verhindern. Die Forscher geben an, dass sie eine schwerwiegende Ausnahme von dieser Garantie nachgewiesen haben.
"Intel sagt, dass diese Enklave Berechnungen sogar vor Personen schützt, die sich auf demselben System befinden und Root sind", sagt Kit Murdock, einer der Birmingham-Forscher. "Aber wir können immer noch Bits umdrehen, selbst in einer sicheren Enklave."
Die Arbeiten der Forscher von Birmingham, TU Graz und KU Leuven basieren auf Erkenntnissen einer Gruppe von Forschern der Universität Tsinghua in Peking und der Universität Maryland, die Anfang dieses Monats auf der Konferenz der Association for Computing Machinery eine ähnliche Technik vorstellten. Diese Technik, die die Tsinghua- und Maryland-Forscher VoltJockey nannten, verwendete Spannungsänderungen, um die Sicherheit der Prozessoren auf die gleiche Weise wie bei Plundervolt zu beeinträchtigen, konzentrierte sich jedoch auf Chips von ARM-Chips und nicht auf Intel.
Plundervolt ist kaum das erste Mal, dass das SGX-Feature von Intel kaputt geht. Andere frühere Angriffe wie Spectre und Foreshadow, die beide die spekulative Ausführungsfunktion von Intels Chips ausnutzten, konnten in einigen Fällen auch die Vertraulichkeit der SGX-Enklaven von Intel brechen, bevor der Chiphersteller Firmware-Patches herausgab, um diese zu verhindern. Anfang dieses Jahres haben Forscher der TU Graz sogar gezeigt, dass sie ihre eigene Malware mithilfe einer als rückkehrorientierte Programmierung bezeichneten Technik in die SGX-Enklave einfügen können, wodurch sie für Antivirensoftware unsichtbar wird.
Die Plundervolt-Forscher haben sich im Juni vergangenen Jahres an Intel gewandt, und Intel hat heute in einem Sicherheitshinweis mitgeteilt, dass ein drittes Team von Forschern der Technischen Universität Darmstadt und der University of California das Unternehmen etwa zur gleichen Zeit über die Technik des Unterbrechens unterrichtet hat. Laut Intel warnte das VoltJockey-Team Intel zwei Monate später, obwohl sich die Konferenz auf ARM-Chips konzentrierte.
