Immer mehr Speicher auf immer kleinerem Raum: Das ist seit Jahrzehnten die Entwicklung bei der Technologie zur Datenspeicherung. Festplatten fassen heute Terabyte, in Smartphones und Laptops befinden sich auf wenigen Quadratzentimetern Chipfläche mehrere Gigabyte an Arbeitsspeicher.

Diese Miniaturisierung führt jetzt zu unerwarteten Problemen. Einem Team von IT-Sicherheitsforschern ist es gelungen, kleinste Fehler im Arbeitsspeicher gezielt für einen Angriff zu nutzen. Die Methode mit dem Namen Rowhammer ist sehr speziell, aber relevant. Denn mit einem einfachen Softwareupdate lässt sich das Problem wahrscheinlich nicht aus der Welt schaffen. Was wiederum bedeutet, dass Unternehmen und Anwender für längere Zeit angreifbar bleiben werden.

Die Idee des Rowhammer-Angriffs: Greift ein Computerprozess häufig genug auf dieselbe Stelle im Speicher zu, kann das dazu führen, dass sich der Speicher in der Reihe direkt daneben ändert und ein Bit umkippt. Aus einer Null kann eine Eins werden. Der Grund sind kleine elektromagnetische Felder, die durch die Speicherzugriffe entstehen.

Zur Veranschaulichung: Ein handelsüblicher PC hat heute einen vier Gigabyte großen Arbeitsspeicher, das entspricht 32 Milliarden Bit. Wie die Forscher nun zeigen konnte, reicht unter Umständen bereits ein einzelnes gekipptes Bit für einen Angriff auf Sicherheitsbarrieren von Browsern und Betriebssystemen.

Aus einem theoretischen ist ein praktisches Problem geworden

Dass dieses Problem auftreten kann, ist grundsätzlich nichts Neues. Vor einigen Monaten veröffentlichte ein Forscherteam von der Carnegie-Mellon-Universität in Pittsburg gemeinsam mit Intel eine Untersuchung aktueller Speicherchips. Die Forscher nutzten dafür allerdings Spezialhardware und wussten genau über den Aufbau der Speicherchips Bescheid.

Veröffentlichungen von Speicherherstellern deuten darauf hin, dass das Problem zwar schon länger bekannt war. Es wurde von der Industrie aber nur als Risiko für die Stabilität eines Systems gesehen. Ein Risiko durch bösartige Angreifer galt allenfalls als theoretisches Problem.

Etwa die Hälfte der getesteten Laptops verwundbar

Doch der Sicherheitsforscher Mark Seaborn berichtet nun in einem Gastbeitrag im Blog von Googles Sicherheitsteam Project Zero, dass es ihm gelungen ist, ganz praktische Angriffe auf handelsüblichen Laptops durchzuführen. Von 29 getesteten Laptops waren 15 für die Rowhammer-Methode anfällig. Es handelt sich also um ein weit verbreitetes Problem. Zwei mögliche Methoden erläutert Seaborn, aber vermutlich gibt es unzählige weitere.

Im ersten Szenario gelingt es Seaborn, aus der sogenannten Sandbox des Chrome-Browsers auszubrechen. Moderne Browser führen einzelne Webseiten in abgetrennten Bereichen eines PC-Systems aus. Die Idee dabei: Selbst wenn eine Sicherheitslücke im Browser vorhanden ist, hat ein Angreifer nur Zugriff auf diesen abgetrennten Sandbox-Bereich und kann nicht gleich das System übernehmen. Damit das funktioniert, haben die Chrome-Entwickler eine Technik implementiert, bei der in diesem abgetrennten Bereich nur bestimmte Befehle im Maschinencode des Computers ausgeführt werden dürfen. Hier setzt Seaborns Rowhammer-Angriff an: Durch geschicktes Umkippen von Bits gelingt es ihm, einen erlaubten Codebefehl nach der Prüfung in einen unerlaubten umzuwandeln und somit aus der abgeschotteten Sandbox auszubrechen. Ausgelöst werden kann der Angriff durch den Besuch einer verseuchten Website.

Dieser Ansatz ist aber noch vergleichsweise harmlos, durch eine relativ simple Änderung des Sandbox-Codes konnten die Chrome-Entwickler ihn verhindern. Die Möglichkeiten des Rowhammer-Angriffs gehen jedoch noch weiter. In einem zweiten Beispiel gelang es Seaborn, auf einem Linux-System die Speicherverwaltung so auszutricksen, dass er mit den Rechten eines eingeschränkten Nutzerkontos den Speicher des gesamten Systems kontrollieren konnte. Dadurch wurde er zum Administrator und konnte nach Belieben Daten von anderen Nutzern lesen und überschreiben. Kritisch ist so ein Angriff zum Beispiel in Unternehmen oder an Universitäten, wo Nutzer aus Sicherheitsgründen nur eingeschränkte Rechte bekommen.