ÆPIC Leak: Das Security-Kartenhaus fällt

Wieder so eine Prozessorschwachstelle? Mit fancy Titel und albernem "Wir sind so cool, wir habens gar nicht nötig, cool zu sein"-Logo? Alles klar: Gähn! Bitte weitergehen, hier gibt es nichts zu sehen, umzappen auf den nächsten Seitenkanal.

Kolumne: Patch me if you can

Er hat eine Schwachstelle für Risiken und Über-Cyber-Schreiben: Im Hauptberuf Cofounder und CTO der intcube GmbH, tobt und lässt David Fuhr sich in dieser Kolumne über aktuelle Vorfälle und allgemeingültige Wahrheiten der Informationssicherheit aus.

Moment mal! CVE-2022-21233 aka ÆPIC Leak, der neueste Gruselkracher von den Typen, die uns in der Vergangenheit bereits Meltdown und Spectre v1.x bis v5 NG gebracht haben, ist gar kein Seitenkanalangriff, sondern eine "gewöhnliche" Schwachstelle – ein stinknormaler uninitialized read gar, quasi das IT-Äquivalent von "Ich setze mich zum Frühstück ins Café und wundere mich, dass ich noch Krümel von den Gästen vor mir finde". Und dafür die große Aufregung im digitalen Blätterwald?

SGX-Enklaven bequem auslesbar

Das Heikle an ÆPIC Leak ist nicht die Schwachstelle an sich. Diese betrifft zwar viele aktuelle Prozessoren, kann aber nur von privilegierten Nutzern ausgenutzt werden. Somit wäre sie vor allem für den Cloud-Bereich relevant – wenn VMs Zugriff auf den Advanced Programmable Interrupt Controller (APIC) hätten. Doch Achtung: SGX-Enklaven lassen sich bequem auslesen, was einen weiteren Schlag für die Trusted Execution Environments bedeutet, die Intel für Clientsysteme eh bereits abgekündigt hat.

Mehr Infos

Kennen Sie schon den kostenlosen iX-Newsletter? Jetzt anmelden und monatlich zum Erscheinungsdatum nichts verpassen: heise.de/s/NY1E In der nächsten Ausgabe geht's ums Titelthema der September-iX: Schnelle Energiesparmaßnahmen in der IT.

Das Pikante ist, dass es sich quasi um einen "Softwarebug" in Hardware handelt: Moderne CPUs sind so mächtig geworden, dass sich ihre Hardware, die Mikroarchitektur und sogar die eine Ebene abstraktere Architektur so komplex wie Software verhalten. Und so die Chance auf alle möglichen Arten von Schwachstellen erben, die wir bisher nur Software zugetraut hätten.

Woran leakts? Wir lassen KI-Modelle in Apps auf Containern in VMs auf Hypervisoren in OSen laufen, die in Mikrocode auf Architekturen durch Mikroarchitekturen realisiert sind – und sammeln Komplexitätsschulden auf jeder Ebene, all the way down. Aus dieser Lasagne-Schichtung lassen sich wunderbare "Weird Machines" konstruieren, virtuelle Rechner in Rechnern, die Angreifer rein über Bugs komplett steuern können. Denn in den Ritzen der Abstraktionsebenen schlummern sicherlich noch Hunderte Schwachstellen(-kategorien).

Das Security-Kartenhaus fällt

Wenn wir den Hauptfeind der Security, die Komplexität, wie ein Kartenhaus übereinanderstapeln, dürfen wir uns über solche Eigentore nicht wundern – und können im vorliegenden Fall von Glück reden, dass es sich um einen Architektur-Bug handelt, der mit Software (Mikrocode im Prozessor) aufgefangen werden kann, wenn auch zulasten der Performance. Das wird nicht immer so billig werden.

Die entscheidende Frage für die Zukunft wird sein, ob wir mit der Entwicklung der Engineering- und Security-Methoden schneller vorankommen, als wir es schaffen, neue Komplexitätsschulden anzuhäufen. In diesem Fall bin ich ausnahmsweise für eine Schuldenbremse.

Bei diesem Kommentar handelt es sich um das Editorial der iX 9/2022, die am 25. August erscheint.

(ur)