Wie Malware Daten aus vermeintlich geschützen Adressbereichen des Arbeitsspeichers ausliest, demonstrieren Sicherheitsexperten von drei Universitäten mit ihrer "RAMBleed"-Attacke. RAMBleed bringt mehrere gefährliche Neuerungen, wodurch Daten einfach ausgelesen werden können, ohne andere Daten zu verändern. RAMBleed umgeht außerdem den Error Correction Code (ECC), welcher den Arbeitsspeicher vor 1-Bit-Fehlern schützt.

Um Informationen zu ergattern, beispielsweise vorhersagbare Latenzunterschiede beim Zugriff auf Speicherzellen, bei denen Bitfehler per ECC korrigiert wurden oder nicht, nutzt RAMBleed zusätzliche Seitenkanäle. Der Angriff leitet außerdem den Inhalt geschützter Speicherbereiche indirekt durch Zugriffe auf benachbarte Speicherzellen ab. RAMBleed kommt damit an geheime Daten, ohne jemals direkt die Speicherzellen auszulesen, die sie speichern.

Theoretisch lassen sich mit RAMBleed viele moderne Systeme angreifen, unabhängig von Betriebssystem und Prozessor. Die Autoren des RAMBleed-Papers haben Proofs-of-Concept (PoCs) mit drei verschiedenen x86-Systemen unter Ubuntu 18.04 durchgeführt, jeweils mit Intel-Prozessoren (Core i5-4570, Core i7-6700, Xeon E3-1270) und mit DDR3-SDRAM, beim Xeon sogar mit ECC-Speicher.

(jf, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE