12.07.2022 - Sicherheitsforschende der ETH Zürich haben eine schwerwiegende Sicherheitslücke in Mikroprozessoren von Intel und AMD gefunden. Die als «Retbleed» benannte Schwachstelle ermöglicht einem Angreifer, potentiell auf beliebige Speicherbereiche zuzugreifen. Erste Abwehrmassnahmen wurden bereits definiert. Das NCSC hat für die Sicherheitslücke der beiden Hersteller die international gültigen CVE-Nummern vergeben.
Um zu verhindern, dass Schwachstellen in Informatiksystemen ausgenutzt werden, ist eine rasche Behebung und die weltweite Information von Betreibern und Herstellern sehr wichtig. Sicherheitsforschende der ETH Zürich haben eine weitreichende Schwachstelle bei Mikroprozessoren von Intel und AMD gefunden. Das NCSC hat in Zusammenarbeit und in Absprache mit den Forschenden der ETH Zürich der Schwachstelle die CVE-Nummern CVE-2022-29900 (für Prozessoren des Herstellers AMD) und CVE-2022-29901 (für Prozessoren des Herstellers Intel) vergeben. Die Zuordnung einer CVE (Common Vulnerabilities and Exposure) ermöglicht eine weltweit eindeutige Identifizierung von Schwachstellen. Da die betreffenden Prozessoren weltweit im Einsatz sind, wird die Schwachstelle als schwerwiegend eingestuft. Jedoch haben die Hersteller bereits erste Massnahmen ergriffen, um die Sicherheitslücke zu schliessen.
Schwachstelle von ETH Zürich entdeckt und dem NCSC gemeldet
Im ersten Quartal dieses Jahres meldeten Forscher der ETH Zürich den Herstellern AMD und Intel eine entdeckte Schwachstelle in Mikroprozessoren und informierten ebenfalls das NCSC. Die Ausnutzung der Schwachstelle, die von den Forschern «Retbleed» genannt wird, ermöglicht es einem Angreifer, unbefugten Zugriff auf Speicherbereiche und somit auf beliebige Informationen im System zu erhalten. Dies ist besonders gefährlich in Cloud-Umgebungen, in denen verschiedene Kunden und Unternehmen geteilte Infrastrukturen und Computersysteme gemeinsam nutzen. Das Forscherteam geht davon aus, dass die Mikroprozessoren von Intel, die drei bis sechs Jahre alt sind, sowie die Prozessoren von AMD, die zwischen einem und elf Jahren alt sind, mit hoher Wahrscheinlichkeit davon betroffen sind. Die Schwachstelle wurde als schwerwiegend eingestuft. Doch sie auszunutzen ist sehr aufwändig - es erfordert entsprechendes Fachwissen und setzt voraus, dass ein potentieller Angreifer Programmcode lokal auf einem System ausführen kann. Die betroffenen Hersteller arbeiten mit Hochdruck an Sicherheitspatches und stellen diese zeitnah zur Verfügung. Weitere Informationen zur Schwachstelle «Retbleed» finden sich im Forschungspapier der ETH-Zürich.
Koordination durch NCSC
Im September 2021 wurde das NCSC als Zulassungsbehörde für die Vergabe von CVE-Nummern durch die gemeinnützige Organisation MITRE anerkannt. Im November 2021 erfolgte die erstmalige Vergabe einer Schwachstellen-Nummer durch das NCSC, damals handelte es sich um eine Hardware-Schwachstelle mit der Bezeichnung «Blacksmith», die ebenfalls durch die ETH Zürich entdeckt wurde.
Zwischenzeitlich hat das NCSC insgesamt 24 CVE-Nummern zu Schwachstellen veröffentlicht, 20 davon betrafen Software- und vier davon Hardware-Komponenten. Die Schwachstellen werden laufend auf der Internetseite des NCSC nachgeführt. Die Mehrheit der Sicherheitslücken wurden dem NCSC durch Sicherheitsforschende im Rahmen des «Coordinated Vulnerability Disclosure» Programms gemeldet. Dabei geht es im Kern um einen verantwortungsvollen Umgang mit Schwachstellen mit dem Ziel, die Details einer Lücke erst dann öffentlich zu machen, wenn der Hersteller oder die betroffenen Organisationen darüber in Kenntnis gesetzt wurde und eine entsprechende Lösung für die Sicherheitslücke bereitsteht, z. B. in Form eines Produkte-Updates.
Dem NCSC können sowohl Schwachstellen in den Systemen der Bundesverwaltung als auch allgemeine Schwachstellen in IT-Produkten und Systemen mit einem Bezug zur Schweiz über das Internetformular gemeldet werden. Das NCSC ist dabei als autorisierte Fachstelle verantwortlich für die Prüfung, Koordination und die Publikation von entdeckten Schwachstellen. Es hat sich gezeigt, dass diese koordinative Rolle des NCSC von den involvierten Parteien sehr geschätzt und rege genutzt wird.
Letzte Änderung 12.07.2022
