"Mit der neuen Attacke können wir bereits geladene Daten von anderen Programmen sehen", erklärt Daniel Gruss der futurezone. Für jeden Angriffsversuch mit ZombieLoad stünde nur ein extrem kurzes Zeitfenster von rund 200 Nanosekunden zur Verfügung. Man kann damit also immer nur kleine Datenschnipsel auslesen. Wird der Angriff jedoch wiederholt durchgeführt, sei es aber etwa möglich, Code zur Entsperrung einer Festplattenverschlüsselung zu rekonstruieren. Einen ZombieLoad-Angriff zu erkennen, sei schwierig.

Problem Hyper-Threading

ZombieLoad nutzt eine Arbeitsweise moderner Prozessoren aus, bei der mehrere Arbeitsschritte zur Effizienzsteigerung parallel ausgeführt werden. Manche Arbeitsschritte werden dabei spekulativ im Vorraus ausgeführt und bei Bedarf wieder verworfen. Diese übrig gebliebenen Daten "laufen kopflos durch die Gegend", meint Gruss. Der Name ZombieLoad schien deshalb passend. Die parallele Arbeitsweise hat Intel in seiner Hyper-Threading-Technologie perfektioniert. Sie stellt laut den Sicherheitsforschern allerdings einen großen Schwachpunkt bei der neuen Angriffsmethode dar.

"Wir glauben, dass man Hyper-Threading abschalten muss", meint Gruss. "Das ist schade, weil die Technologie Effizienz bringt. Sie spart Zeit und Strom. Aber sie macht auch Angriffe leichter." Bei seinen neuesten Prozessorgenerationen hat Intel offenbar einen Weg gefunden, um ZombieLoad-Angriffe zu verhindern. Die seit Anfang 2019 ausgelieferten Prozessoren mit "Whiskey Lake"-, "Coffee Lake"-, und "Cascade Lake"-Architekturen sind nicht mehr betroffen. Sie sind in einigen neuen Laptops, Desktop-PCs und Servern eingebaut.

Leistungseinbußen

Ältere Intel-Prozessoren müssen hingegen per Patch vor ZombieLoad geschützt werden. Das hat seinen Preis, meint Gruss, und der wird in Form gedrosselter Leistung bezahlt. "Egal wie gut die Patches sind, unsere Computer werden nicht schneller werden." Um wieviel langsamer Intel-Rechner künftig arbeiten werden, ist noch unklar. "Im schlimmsten Fall benötigt man Patches und das Hyper-Threading wird abgeschaltet. Dann hätte man bis zu 50 Prozent Leistungsverlust." Gerade für Cloud-Anbieter wäre ein solches Vorgehen fatal. "Sie würden auf einen Schlag die Hälfte ihrer Rechenkraft verlieren."

Zweite Methode

Die zweite Angriffsmethode, die die Sicherheitsforscher entdeckt haben, ist im Vergleich zu ZombieLoad weniger gefährlich. Auch beim Store-to-Leak Forwarding wird die Arbeitsweise des Prozessors ausgenutzt, um Daten auszulesen, auf die man eigentlich keinen Zugriff haben dürfte. Im Gegensatz zu ZombieLoad geht es dabei aber um Metadaten. Dadurch können Angreifer etwa Ansatzpunkte ausfindig machen, um etwaige Lücken im Betriebssystem gezielt anzugreifen.

Spannende Wochen

Sowohl ZombieLoad als auch Store-to-Leak Forwarding sind im Vergleich zu Meltdown anspruchsvollere Angriffsmethoden. Tatsächlich ausgenutzt worden sind sie noch nicht. Nun hängt es von Prozessorherstellern ab, wie gut die aufgezeigten Sicherheitslücken geschlossen werden. Während bei Meltdown bereits von Anfang an feststand, dass neben Intel-Prozessoren auch Entwicklungen von AMD und ARM betroffen waren, ist nun unklar, welche Hersteller außer Intel noch betroffen sind.

Gruss geht jedenfalls davon aus, dass Intel sein Wissen über die neuen Angriffsmethoden industrieintern weitergegeben hat. Die Mitspieler am Chip-Markt sind also wahrscheinlich vorgewarnt. Wie sehr sie es schaffen, auf die neuen Bedrohungsszenarien zu reagieren, wird man erst in den kommenden Wochen sehen. Auf der Webseite ZombieLoadAttack.com werden mehr Details zu ZombieLoad beschrieben. Weitere Informationen zu beiden neuen Angriffsmethoden gibt es bald auf der eigens eingerichteten Webseite CPU.fail.