x86-Prozessoren - Sicherheitslücke in CPUs ermöglicht Rootkit-Installation

Die Sicherheitslücke wurde in älteren Intel-CPUs gefunden, dürfte aber auch AMD betreffen.

Der Sicherheitsexperte Christopher Domas hat eine Sicherheitslücke in x86-Prozessoren entdeckt, die es Angreifern ermöglicht, ein Rootkit direkt in einen Bereich der CPU zu installieren. Diese Sicherheitslücke scheint schon seit fast 20 Jahren zu existieren, wurde aber erst jetzt entdeckt. Ein Fehler im Design der x86-Prozessoren, die vor dem Jahr 2010 hergestellt wurden, erlauben den Zugriff auf einen eigentlich geschützten Bereich der CPU über den »System Management Mode« (SMM). Dieser Modus wird beispielsweise für Sicherheitsfunktionen des BIOS verwendet.

Ein auf diese Weise installiertes Rootkit kann dann auch verwendet werden, um weitere Schadsoftware zu installieren und überlebt auch eine Neuinstallation des Betriebssystems oder den Austausch der Festplatte. Selbst moderne Features wie Secure Boot helfen in diesem Fall nicht, da genau diese Sicherheitsfunktionen den nach der Infektion unsicheren SMM-Modus verwenden. Domas hat diese Sicherheitslücke zwar nur mit Intel-Prozessoren getestet, geht aber davon aus, dass auch AMD-Prozessoren wegen der grundsätzlich gleichen x86-Architektur ebenso anfällig sind. Neuere Prozessoren ab dem Jahr 2010 weisen den Fehler nicht mehr auf.

Intel ist laut Domas über die Sicherheitslücke informiert und hat mit der Auslieferung von BIOS-Updates für ältere Prozessoren an die Mainboard-Hersteller begonnen, doch nicht alle Prozessoren lassen sich auf diese Weise absichern. Das Update des BIOS eines Mainboards ist außerdem ein Vorgang, den viele reine Anwender älterer Rechner vermutlich nicht einmal kennen. Für den Angriff auf die Sicherheitslücke in den Prozessoren sind allerdings bereits hohe Rechte aus System- oder Kernel-Level notwendig, so dass der Rechner bereits anderweitig kompromittiert sein muss.

Quelle: PC World