Das VUSec-Forscherteam der Vrije Universität Amsterdam hat ausgearbeitet, dass sich Intels Xeon-Prozessoren über die Netzwerkfunktionen DDIO und RDMA angreifen lassen. Dabei lassen sich zum Beispiel Tastatureingaben über SSH-Sitzungen auslesen.

Angreifbar sind die Server-CPUs seit der Sandy-Bridge-EP-Generation (Xeon E5-2600/2400) von 2012. NetCAT (Network Cache ATtack, CVE-2019-11184) nutzt die Funktion Data-Direct I/O (DDIO) aus, bei der Netzwerk-Controller Daten direkt in den schnellen L3-Cache der Intel-Prozessoren schreiben. So können netzwerklastige Anwendungen beschleunigt werden.

Was in den L3-Cache geschrieben wird können Angreifer zwar nicht auslesen, aber dafür die zeitlichen Abstände der Schreibbefehle. Dadurch lassen sich wiederum Rückschlüsse auf den geschriebenen Text ziehen: Durch Analysieren des Schreibverhaltens eines Anwenders können über die zeitlichen Abstände die Positionen der Tasten und somit die Buchstaben ermittelt werden.

Dank Remote Direct Memory Access (RDMA) haben Prozessoren innerhalb eines Netzwerks einen gemeinsamen Speicherzugriff. Damit kann ein infiziertes System alle CPUs eines Netzwerks zentral angreifen.

Intel stuft das Sicherheitsrisiko als gering ein (INTEL-SA-00290; CVSS-Score 2,6), da Angreifer "typischerweise" keinen direkten Zugriff von einem nicht vertrauenswürdigen Netzwerk hätten. Sie empfiehlen Server-Betreibern, die Funktionen DDIO und RDMA zu deaktivieren oder Zugriffsrechte einzuschränken.

(tl, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE