Am 10. November 2020 fand ein Team von akademischen Forschern einen Fehler in der Intel-CPU-Architektur, der es ihnen ermöglichte, sensible Informationen wie Verschlüsselungsschlüssel aus dem Prozessor zu extrahieren. Die Forscher nannten die Schwachstelle Power Leakage Attacks: Targeting Your Protected User Secrets(PLATYPUS) nach der Fähigkeit des Schnabeltiers, elektrischen Strom mit seinem Schnabel zu erkennen. Durch die Überwachung des Stromverbrauchs waren die Forscher in der Lage, Daten zu ermitteln, die über die Schnittstelle Running Average Power Limit (RAPL) verarbeitet werden. Intel hat jedoch ein Mikrocode-Update veröffentlicht, das auf alle Server und Geräte, die den Prozessor verwenden, angewendet werden sollte. Es sind keine Patches erforderlich, wie dies bei Zombieload oder Spectre & Meltdown der Fall war.

Intel empfiehlt die Installation von Updates, die vom Systemhersteller bereitgestellt werden, aber die Installation von Firmware-Updates erfordert einen Neustart. Wir haben eine Anleitung (siehe unten), mit der Sie den Mikrocode ohne Neustart aktualisieren und so Ihre Intel-Chips schützen können. Diese rebootlose Abhilfe gilt nur für Intel-Chipsätze.

AMD ist ebenfalls potenziell anfällig und hat ebenfalls ein Microcode-Update veröffentlicht. In Übereinstimmung mit den Industriepartnern hat AMD die RAPL-Schnittstelle aktualisiert, so dass ein privilegierter Zugriff erforderlich ist. Die Änderung wird derzeit in die Linux-Distributionen integriert.

Abschwächung von PLATYPUS

Den Forschern zufolge funktioniert PLATYPUS am effektivsten auf Linux-Systemen, was bedeutet, dass jeder Server, auf dem eine Linux-Distribution auf Intel läuft, anfällig sein kann und der Mikrocode so bald wie möglich aktualisiert werden sollte. Da PLATYPUS aus der Ferne ausgeführt werden kann, ist es wichtig, dass diese Schwachstelle schnell beseitigt wird, aber auch für Produktionsserver, die Dienste abwickeln, sind Ausfallzeiten ein Problem.

Mit diesen beiden Schritten können Sie PLATYPUS auf Intel ohne Neustart entschärfen:

1. Mikrocode ohne Neustart aktualisieren. Der CPU-Mikrocode ist die Schnittstelle zwischen der Software und der Elektronik auf Maschinenebene. Es ist der Code, der innerhalb der CPU selbst läuft. Microcode-Änderungen werden normalerweise bei einem Neustart des Linux-Betriebssystems übernommen, aber die Anweisungen von KernelCare zeigen Ihnen, wie Sie Microcode ohne Neustart aktualisieren.
2. Führen Sie den folgenden Befehl aus:

   sudo chmod 400 /sys/class/powercap/intel_rapl/*/energy_uj

Ein kurzer Überblick über Platypus

Linux und andere Betriebssysteme überwachen den Stromverbrauch mithilfe der RAPL-Schnittstelle von Intel. Die RAPL-Schnittstelle ist sowohl in Intel- als auch in AMD-Prozessoren enthalten und überwacht den CPU-Energieverbrauch, um sicherzustellen, dass der Prozessor nicht zu viel Energie verbraucht oder überhitzt. Auf die RAPL-Schnittstelle kann ohne administrativen Zugriff zugegriffen werden, was einem Angreifer die Möglichkeit gibt, den Stromverbrauch zu überwachen und aus den Schwankungen Werte abzuleiten. Auf die von RAPL gemeldeten Werte kann ohne Administratorrechte zugegriffen werden, und Intel behebt das Problem in seinem Patch, indem es nur Administratorzugriff zulässt.

Die Forscher kombinierten die RAPL-Leistung mit dem Missbrauch von Intels Software Guard Extensions (SGX), einer Sicherheitsfunktion, die kritische Programme wie das Betriebssystem in eine isolierte Speicherumgebung, die Enklave, verschiebt. SGX kann von einem bereits kompromittierten Betriebssystem missbraucht werden und erfüllt seine Sicherheitsfunktionen auch dann, wenn Malware auf dem System läuft.

Mithilfe eines kompromittierten Betriebssystems konnten die Forscher den Prozessor zwingen, bestimmte Befehle Tausende Male innerhalb der SGX-Enklave auszuführen und den Stromverbrauch über die RAPL-Schnittstelle zu überwachen. Die Schwankungen des Stromverbrauchs wurden genutzt, um Daten einschließlich privater Verschlüsselungsschlüssel abzuleiten.

Bis heute waren Angriffe über den Strom-Seitenkanal sehr ungenau, es sei denn, der Angreifer hatte physischen Zugang zu dem Gerät und war mit einem Oszilloskop ausgestattet. Diese neue Forschung zeigt, dass Angriffe über den Strom-Seitenkanal aus der Ferne und mit hoher Genauigkeit durchgeführt werden können. Nachverfolgung und Berichterstattung für PLATYPUS finden Sie unter CVE-2020-8694 (Linux+Intel), CVE-2020-8695 (Intel), und CVE-2020-12912 (Linux+AMD).

Die gute Nachricht für ältere Rechner ist, dass die Sicherheitslücke nur die neueren Generationen des Intel-Prozessors betrifft. 

Lesen Sie mehr darüber, wie KernelCare andere kritische Schwachstellen behebt:

1. Zombieload - Kritisches Linux CVE betrifft fast alle Intel-CPUs
2. Rebootlose Patches für "Bleeding Tooth" sind auf dem Weg
3. SWAPGS: KernelCare-Patches sind auf dem Weg
4. SACK-Panik und Langsamkeit: KernelCare Live-Patches sind da
5. RIDL - Ein weiterer MDS-Angriff, vor dem Live-Patching Sie gerettet hätte