Schuldkröten bis ganz nach unten

Wieder so eine Prozessorschwachstelle? Mit fancy Titel und albernem „Wir sind so cool, wir habens gar nicht nötig, cool zu sein“-Logo? Alles klar: Gähn! Bitte weitergehen, hier gibt es nichts zu sehen, umzappen auf den nächsten Seitenkanal.

Moment mal! CVE-2022-21233 aka ÆPIC Leak (siehe Seite 27), der neueste Gruselkracher von den Typen, die uns in der Vergangenheit bereits Meltdown und Spectre v1.x bis v5 NG gebracht haben (siehe ix.de/z97s), ist gar kein Seitenkanalangriff, sondern eine „gewöhnliche“ Schwachstelle – ein stinknormaler uninitialized read gar, quasi das IT-Äquivalent von „Ich setze mich zum Frühstück ins Café und wundere mich, dass ich noch Krümel von den Gästen vor mir finde“. Und dafür die große Aufregung im digitalen Blätterwald?

Das Heikle an ÆPIC Leak ist nicht die Schwachstelle an sich. Diese betrifft zwar viele aktuelle Prozessoren, kann aber nur von privilegierten Nutzern ausgenutzt werden. Somit wäre sie vor allem für den Cloud-Bereich relevant – wenn VMs Zugriff auf den Advanced Programmable Interrupt Controller (APIC) hätten. Doch Achtung: SGX-Enklaven lassen sich bequem auslesen, was einen weiteren Schlag für die Trusted Execution Environments bedeutet, die Intel für Clientsysteme eh bereits abgekündigt hat.

Das Pikante ist, dass es sich quasi um einen „Softwarebug“ in Hardware handelt: Moderne CPUs sind so mächtig geworden, dass sich ihre Hardware, die Mikroarchitektur und sogar die eine Ebene abstraktere Architektur so komplex wie Software verhalten. Und so die Chance auf alle möglichen Arten von Schwachstellen erben, die wir bisher nur Software zugetraut hätten.

Woran leakts? Wir lassen KI-Modelle in Apps auf Containern in VMs auf Hypervisoren in OSen laufen, die in Mikrocode auf Architekturen durch Mikroarchitekturen realisiert sind – und sammeln Komplexitätsschulden auf jeder Ebene, all the way down. Aus dieser Lasagne-Schichtung lassen sich wunderbare „Weird Machines“ konstruieren, virtuelle Rechner in Rechnern, die Angreifer rein über Bugs komplett steuern können. Denn in den Ritzen der Abstraktionsebenen schlummern sicherlich noch Hunderte Schwachstellen(-kategorien).

Wenn wir den Hauptfeind der Security, die Komplexität (siehe ix.de/z97s), wie ein Kartenhaus übereinanderstapeln, dürfen wir uns über solche Eigentore nicht wunden – und können im vorliegenden Fall von Glück reden, dass es sich um einen Architektur-Bug handelt, der mit Software (Mikrocode im Prozessor) aufgefangen werden kann, wenn auch zulasten der Performance. Das wird nicht immer so billig werden.

Die entscheidende Frage für die Zukunft wird sein, ob wir mit der Entwicklung der Engineering- und Security-Methoden schneller vorankommen, als wir es schaffen, neue Komplexitätsschulden anzuhäufen. In diesem Fall bin ich ausnahmsweise für eine Schuldenbremse.

David Fuhr

ist Head of Research & Innovation bei der HiSolutions AG.