KernelCare Patches gegen die Spectre-Schwachstelle sind auf dem Weg

Am 9. Juni veröffentlichte Anthony Steinhauser, ein Ingenieur bei Google, einige dringende Beiträge auf der Linux-Kernel-Mailingliste. Darin wies er darauf hin, dass Server aufgrund von Hardwarefehlern in Intel- und AMD-Chips anfällig für Spectre-Angriffe sind - selbst nachdem der Kernel gepatcht wurde. Glücklicherweise wird derzeit vom KernelCare-Team eine Lösung für dieses Problem entwickelt. Die ersten Patches werden Ende der Woche vom 22. Juni verfügbar sein.

Chipschwachstellen machen Server angreifbar

Spectre-Schwachstellen machen Server anfällig für Angriffe mit spekulativer Ausführung. Dabei handelt es sich um Angriffe, bei denen Server unnötige Operationen ausführen, die vertrauliche Daten preisgeben, und diese dann über einen ungeschützten Seitenkanal weitergeben. Steinhauser wies darauf hin, dass Logikfehler in x86-Prozessoren von Intel und AMD die aktuellen Spectre-Patches gegen diese Art von Angriffen unwirksam machen. 

Um sich gegen diese Angriffe zu schützen, so schrieb er, optimierten die Hersteller ihre SSBD-Verteidigung (Speculative Store Bypass Disable). Sie haben sich für diese Verteidigung entschieden, weil sie weniger kostspielig ist als die Alternative, ein modellspezifischer Registerschreibvorgang (MSR). Diese Entscheidung ist problematisch geworden, weil der Logikfehler ihrer Chips es ermöglicht, die SSBD-Optimierung zu nutzen, um SSBD selbst zu deaktivieren. 

Ein weiteres Problem, auf das Steinhauser hinweist, ist, dass eine andere Spectre-Verteidigung, Indirect Branch Prediction Barrier (IBPB), von Linux in bestimmten Situationen zwangsweise deaktiviert werden kann. Außerdem schrieb er, dass die Einstellungen, die zur Vermeidung dieser Situationen verwendet werden, nicht funktionieren: 

"Derzeit ist es möglich, die indirekte Verzweigungsspekulation zu aktivieren, auch wenn sie mit der Option PR_SPEC_FORCE_DISABLE zwangsdeaktiviert wurde. Außerdem liefert der Befehl PR_GET_SPECULATION_CTRL anschließend ein falsches Ergebnis (erzwungene Deaktivierung, obwohl sie in Wirklichkeit aktiviert ist)."

Korrekturen sind auf dem Weg

Das KernelCare-Betriebsteam arbeitet derzeit an einem neuen Patch, der diese Hardware-Fehler beheben wird. Sie sind mit den Spectre-Schwachstellen vertraut und schreiben ihren eigenen Patch-Code in Übereinstimmung mit ihrer Forschung über die von Steinhauser entdeckten Fehler. 

Sobald das Team einen Patch-Code geschrieben hat, den es für wirksam hält, reproduziert es die SSBD- und IBPB-Exploits und testet dann den Code, um sicherzustellen, dass er vor ihnen schützt. Sobald es sicher ist, dass der Code diese Sicherheitsprobleme behebt und keine eigenen Probleme verursacht, lädt das Team ihn auf die KernelCare-Patch-Server hoch und verteilt ihn an die Kunden. 

Der neue Patch wird voraussichtlich Ende der Woche vom 22. Juni fertig sein. 

Wenn Sie weitere Fragen dazu haben, wie KernelCare Server vor diesen hardwarebasierten Schwachstellen schützt, können Sie sich gerne an das KernelCare-Team wenden.