Sicherheitsrisiko durch Zugriff auf geschützten CPU-Speicher

(auf Google+ gepostet 01/2018)

 

In dieser Woche ist das wohl größte Sicherheitsproblem des modernen IT-Zeitalters ans Licht gekommen. Aufgrund von Schwachstellen im CPU-Design von Intel und anderen CPU-Herstellern ist es möglich, den gesamten CPU-Speicher über spezielle gefälschte CPU-Anweisungen auszulesen. Dies ist ein großes Sicherheitsproblem, da die heutigen Betriebssysteme (einschließlich VMware) die Systeme nicht mehr absichern können. Jedes Programm, auch ohne Admin-Rechte, hat vollen Lesezugriff auf den gesamten Systemspeicher, ein Risiko, was sich meiner Meinung nach wie folgt darstellt:

 

Virtuelle Serverlösungen
Sehr häufig werden mehrere Server mit Hilfe eines Hypervisors wie VMware oder HyperV in einer virtuellen Maschine konsolidiert. Jetzt müssen Kunden davon ausgehen, dass eine einzelne Anwendung, die in einer VM läuft, den gesamten Speicher jeder isolierten VM, die auf demselben Server läuft, auslesen kann. Cloud-VM-Server-Angebote sind hiervon stark betroffen, da eine VM Daten von anderen VMs verschiedener Kunden lesen kann. Auch die kundeninterne Servervirtualisierung ist davon betroffen. Eine Lösung zur Begrenzung der Sicherheitslücke besteht darin, sicherzustellen, dass ein physischer Host nur die VMs eines einzelnen Kunden bedient. Sicherlich würde das Problem innerhalb der VMs des Kunden weiterhin bestehen, aber zumindest können die VMs anderer Kunden nicht auf Ihre Daten zugreifen.

 

Workstations (z. B. Windows, Mac usw.)
Solange eine physische Workstation einem einzelnen Benutzer gewidmet ist und der Benutzer alle Daten auf dieser Workstation einsehen darf, oder der Benutzer ohnehin administrativen Zugriff hat, gibt es kein direktes Problem. Wenn jedoch Software anderer Hersteller verwendet oder installiert wird, muss davon ausgegangen werden, dass diese zusätzlichen Tools/Anwendungen den gesamten Speicher auslesen können, auch wenn sie keine Administratorrechte besitzen, was zu schwerwiegenden Sicherheitsproblemen führt. Wenn eine solche Workstation mit dem Internet verbunden ist, kann verdächtige Software den kompletten Speicherinhalt an einen entfernten Standort weiterleiten, um ihn zu analysieren und Informationen wie Daten, Benutzernamen, Passwörter, Schlüssel, Zertifikate usw. daraus auszulesen.

 

Server
Hier gelten die gleichen Bedenken wie bei den Workstations. Wenn jedoch nur vertrauenswürdige Software auf einem Server läuft, dann gibt es kein Sicherheitsproblem bei der Bereitstellung dieses physischen Servers. Datenbank, Webserver, Dateiserver usw. können als sicher angesehen werden, da sie nur Daten bereitstellen.

 

Allerdings müssen Serverinstallationen, die es Kunden erlauben, native Software zu installieren oder einen Remote-Zugriff zu ermöglichen (z. B. über „ssh“), was die Übertragung und Ausführung von Software ermöglicht, davon ausgehen, dass diese Software auch ohne entsprechende Zugriffsrechte den gesamten physischen Speicher des Servers auslesen kann.

 

Fazit
Ich sehe keine Lösung für diese gravierende Sicherheitslücke bis neue Prozessorgenerationen dieses Designproblem beheben. Inzwischen gibt es nur noch die Möglichkeit, Server und Workstations je nach Sicherheitsanforderungen voneinander getrennt zu betreiben. Einige Hersteller kündigen Updates an, aber zum jetzigen Zeitpunkt ist noch nicht klar, ob dieses Hardware-Designproblem durch Software-Patches komplett gelöst werden kann.