Angriffe über Meltdown und Spectre entdecken mithilfe von Performance Counter

Originalbeitrag von David Fiser und William Gamazo Sanchez

Obwohl die Exploits für die berüchtigten Meltdown- und Spectre-Sicherheitslücken derzeit nur als Proof of Concept (PoC) oder als Experiment vorkommen, ist es nur eine Frage der Zeit, bis Bedrohungsakteure sie als Waffe nutzen. Beide Lücken sind weit verbreitet und betreffen Maschinen, die seit 1995 gebaut wurden. Sie können darüber hinaus zu einem sehr haarigen Problem für Unternehmen werden, sobald die europäische Grundschutzdatenverordnung (GSDVO) in Kraft tritt. Trend Micro hat an einer Entdeckungstechnik von Angriffen über die Sicherheitslücken gearbeitet, die die in Intel-Prozessoren vorhandenen Leistungszähler (Performance Counter) einbezieht.

Diese Counter messen Cache-Misses, den Zustand, in dem Daten, die eine Anwendung für die Verarbeitung anfordert, im Cache nicht gefunden werden. Dieser Mechanismus hilft, Angriffe zu erkennen. Diese Attacken nutzen das Design moderner CPUs aus, im Rahmen dessen aus Effizienzgründen Befehle spekulativ ausgeführt werden, um Situationen, in denen die CPU warten muss, zu vermeiden.

Trend Micro hofft, damit eine Ergänzung zur Implementierung von Patching-Strategien durch Systemadministratoren und Sicherheits-Profis zu liefern. Auch lässt sich die Methode als Alternative nutzen für Systeme, deren Patching unter Umständen Stabilitäts- oder Performance-Probleme verursacht.

Die Erkennung für MeltdownPrime und SpectrePrime kann aufgrund der Erkennung von Cache-seitigen Channel-Angriffen erfolgen. Die Methode basiert auf Linux und ist auf Mac-Systemen noch nicht überprüft worden.

Die technische Beschreibung der Ausnutzung der spekulativen Ausführung von Spectre und Meltdown sowie von Cache Misses sowie weitere technische Informationen enthält der Originalbeitrag.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.