Kernkiller
Prozessor-Virus: CPU-Exploit
Fehler im Prozessor als Einfallstor für Viren und Trojaner - ein russischer Sicherheitsexperte soll Programmcode ausgetüftelt haben, der den Albtraum Wirklichkeit werden lässt.
Der russische Sicherheitsforscher und Systemprogrammierer Kris Kaspersky hat einen Exploit für CPU-Fehler bei Intel Core 2 und Itanium entwickelt, mit dem sich PCs unabhängig vom Betriebssystem infizieren lassen. Auf der Konferenz HITB Seconf 2008 (Hack in the box), die in Kuala Lumpur in Malaysia vom 27. bis 30. Oktober stattfindet, will er den Exploit öffentlich vorführen und einen Vortrag dazu halten. Kris Kaspersky steht übrigens in keinerlei geschäftlicher oder verwandtschaftlicher Beziehung zu Eugene Kaspersky, dem Gründer der bekannten russischen Antivirenfirma Kaspersky Lab.
Hunderte CPU-Fehler
In der Ankündigung auf der Konferenz-Homepage gibt Kaspersky nur wenige Details preis). So sollen die beiden Prozessorfamilien von Intel etliche Fehler bei der Bearbeitung von Maschinensprachebefehlen aufweisen, die sich für einen Exploit zum Ausführen von Schadcode eignen. Für die Core-2-CPUs dokumentiere Intel selbst 128 Fehler, für den Itanium gar 230.
In der Praxis werden solche CPU-Fehler durch angepasste BIOS-Versionen abgefangen oder treten nur in Verbindung mit sehr komplexen Randbedingungen auf. Für etliche Fehler gibt es laut Kaspersky aber noch keine Abhilfe.
Bis jetzt hat es noch keine öffentlich bekannten Exploits für solche CPU-Fehler gegeben. Lediglich bei einigen direkten Angriffen auf einzelne Ziele hätten laut Kaspersky Angreifer CPU-Fehler ausgenutzt. Es sei aber nur eine Frage der Zeit, bis derlei Attacken auf breiter Front auf PCs mit Internet-Verbindung zurollen. Nach der Ankündigung von Kaspersky und dem breiten Medienecho darauf dürfte tatsächlich auch der letzte Virenprogrammierer hellhörig geworden sein.
Auf der Konferenz will Kaspersky live vorführen, wie er mit Hilfe von JavaScript beziehungsweise massenhaft verschickten IP-Paketen einen Intel-basierenden PC unabhängig vom darauf laufenden Betriebssystem infiziert. Einige der CPU-Fehler, so die Ankündigung weiter, lassen sich mit bestimmten Befehlssequenzen manipulieren.
Kenne man das Innenleben verschiedener JIT-Compiler für Java-Applets, so lasse sich der Exploit über ein normales Java-Applet in eine Webseite integrieren. Daneben will Kaspersky noch vorstellen, wie solche CPU-Fehler auch zu Datenverlusten auf Festplatten führen können.
Ein solcher Exploit könnte auf einem PC völlig unabhängig vom Betriebssystem schädlichen Programmcode ausführen. Natürlich muss der Programmcode selbst sehr wohl auf ein bestimmtes Betriebssystem wie Windows oder MacOS X zugeschnitten sein, wenn er im Sinne des Urhebers kriminelle Aufgaben ausführen soll.
Ein Keylogger zum Mitschneiden von Tastatureingaben muss auf die Systemfunktionen zur Tastaturabfrage zugreifen. Aber auch für eine komplette Virtualisierung von Windows mit Malware als Hypervisor gibt es schon Studien (Projekt Blue Pill).
Außer der Ankündigung von Kaspersky selbst gibt es noch keine gesicherten Erkenntnisse über CPU-Exploits. Ob die Bedrohung real ist oder nur ein geschickt lancierter Coup, um Aufmerksamkeit für den Autor und die Konferenz zu schaffen, bleibt bis Oktober offen. An Sachverstand mangelt es Kaspersky andererseits nicht.
Seit etwa 15 Jahren arbeitet er als unabhängiger Sicherheits- und Kopierschutzspezialist und hat in dieser Zeit eine Reihe von Büchern veröffentlicht, die teilweise auch in englischer Übersetzung verfügbar sind. Titel wie "Hacker Debugging Uncovered" oder "Hacker Disassembling Uncovered: Powerful Techniques To Safeguard Your Programming" sprechen für sich.
Alleine die vage Möglichkeit von CPU-Exploits dürfte Sicherheitsbeauftragte weltweit ins schwitzen bringen. Schließlich sind mit dem Szenario etwa auch Security Appliances, die Firmen gegen das Internet abschotten, oder Webserver bei großen Providern angreifbar. Auch AMD sollte sich nicht zu früh freuen, schließlich haben auch deren CPUs dokumentierte Fehler, denen Kaspersky bisher nur noch nicht nachgespürt hat.
