Spectre nach fast 7 Jahren und kein Ende in Sicht

Spectre – eine kurze Wiederholung

Doch was genau war noch mal die Grundlage von Spectre? Ich hatte hierzu schon vor einiger Zeit einen ausführlichen Artikel geschrieben. Zur Wiederholung: Moderne Prozessoren können „raten“, in welche Richtung sich eine „Wenn-Dann“-Abfrage entwickelt und im Voraus ausrechnen, was dann passieren sollte. Dabei können Daten gelesen werden, die eigentlich nicht erreichbar sein sollten.

Der (bisherige) Fix

Genau an der oben beschriebenen Stelle setzte der erste Fix der CPU-Hersteller an: Die sog. „Indirect Branch Predictor Barrier“ (IBPB) soll verhindern, dass gelernte Vorhersagen weitergeleitet werden.

Spectre zeigt sich wieder

Jedoch haben Forscher der ETH Zürich kürzlich herausgefunden, dass die IBPB nicht korrekt implementiert ist. Man kann sie umgehen und trotz allem auf Speicherbereiche zugreifen, die durch die IBPB gesperrt sein sollten. Der Angriff der Forscher ermöglichte nachweislich den Zugriff auf Daten eines anderen Prozesses als desjenigen, in dem die neue Spectre-Variante ausgenutzt wurde. Dabei stellten sie fest, dass die 12., 13. und 14. Intel-Core-Prozessorgenerationen, die 5. und 6. Intel-Xeon-Generation sowie Zen 2 von AMD angreifbar sind.

Und was jetzt?

Glücklicherweise haben sowohl Intel als auch AMD schon seit Längerem Updates bereitge-stellt, die die neue Lücke schließen. Intel hat diese Updates im März dieses Jahres veröffentlicht, und AMD hat bereits Ende 2022 auf diese Lücke hingewiesen, mit einem Verweis, wie Betriebssystem- und Hypervisor-Entwickler damit umgehen können.

Wird die IT diesmal wirklich ihre Apokalypse erleben?

Vermutlich wird auch dieses Mal wieder relativ wenig passieren. Zur Einordnung: Es ist nach wie vor kein real durchgeführter Angriff bekannt, der auf Spectre und Meltdown basiert. Es existieren zwar viele Proof-of-Concepts, die hier ansetzen, doch muss man ganz klar sagen: Es gibt immer eine einfachere Möglichkeit, ein System zu kompromittieren, als Spectre oder Meltdown auszunutzen, denn beide sind komplex und benötigen viel Zeit für die Extraktion von Daten. Allerdings ist es gut, dass in diesem Bereich weiter geforscht wird, denn dadurch können die CPU-Hersteller Spectre und Meltdown nicht unter den Teppich kehren.

Wie lange werden wir noch von Spectre und Meltdown verfolgt werden?

Spectre und Meltdown werden uns vermutlich noch Jahre bis Jahrzehnte begleiten. Solange es sich um komplexe, langsame Angriffe handelt, werden Angreifer zu schnelleren und einfacheren Methoden greifen. Wir können jedoch nicht ausschließen, dass in diesem Bereich irgendwann eine „nützlichere“ Angriffsform entdeckt wird, die das Ausnutzen von Spectre und Meltdown attraktiver macht. Es bleibt uns also hier nichts anderes übrig als das zu tun, was wir aus der Welt der Betriebssysteme und sonstiger Anwendungen und Dienste schon lange kennen: regelmäßig überprüfen, ob es Sicherheitsupdates gibt und diese einspielen. Ich persönlich sehe ein Update der CPU als größeres Risiko für ungewollte Folgen oder Ausfälle. Hier ist das Testen vor dem breiten Ausrollen der Updates noch einmal wichtiger.

Fazit

Spectre und Meltdown – zwei Sicherheitslücken, die uns noch lange begleiten werden. Tech-nisch hoch interessant, doch in der Praxis glücklicherweise (noch) wenig relevant. Die Kernaussagen zum Umgang mit Spectre und Meltdown sind aber – im Guten wie im Schlechten – ähnlich zum Umgang mit sonstigen Sicherheitslücken:

• Regelmäßige Überprüfung, ob es Updates für die CPU oder Betriebssystem-Updates bezüglich CPU-Funktionen gibt,
• diese gründlich testen und
• sie dann in der Breite ausrollen.

Was diese beiden Lücken spannender macht als klassische Sicherheitslücken in Betriebssystemen oder Software: Sie sind tief in unseren Servern, PCs, Notebooks und Smartphones verankert, sodass wir immer wieder über neue Varianten der gleichen Lücke an der gleichen Stelle stolpern werden. Normale Software zeigt hier häufig unterschiedliche Lücken an verschiedenen Stellen. Bleiben wir also gespannt, wann der Geist von Spectre sich wieder zeigt.