Website
Aktuelles zur Universität und dem Campus

BadRAM: Forschende entdecken neue Sicherheitslücke

Montag, 09.12.2024

Luca Wilke und Prof. Dr. Thomas Eisenbarth vom Institut für IT-Sicherheit der Universität zu Lübeck waren an der Entdeckung der Sicherheitslücke beteiligt. Foto: Tammo Polle / Universität zu Lübeck

Gefahr für Daten in der Cloud

Forscher*innen der Universität zu Lübeck, der University of Birmingham und der Katholieke Universiteit Leuven haben eine schwerwiegende Sicherheitslücke mit dem Namen BadRAM aufgedeckt. Diese Schwachstelle ermöglicht es Angreifenden, auf eigentlich geschützte Speicherbereiche zuzugreifen, was insbesondere Cloud-Anwendungen gefährdet.

Die Sicherheitslücke betrifft vor allem AMD SEV-SNP, eine sogenannte Trusted Execution Environments (“vertrauenswürdige Ausführungsumgebung”), die Nutzer*innen erlaubt, hochsensible Daten in der Cloud zu verarbeiten, ohne diese dem Cloud-Anbieter preiszugeben. BadRAM untergräbt jedoch genau diese Sicherheitsgarantie.

So funktioniert der Angriff: Die Forscher*innen nutzten einen kurzfristigen physischen Zugriff auf Speichermodule, um deren Metadaten – wie die Größe des Moduls – zu manipulieren. Wird ein solches manipuliertes Modul in einem System eingesetzt, entstehen sogenannte Speicher-Aliase. Diese Aliase ermöglichen es, bestehende Zugriffsrechte zu umgehen, sodass Angreifende unbefugt Daten lesen oder verändern können.

Die gute Nachricht: Es gibt bereits Abhilfemaßnahmen. Durch Anpassungen im Startvorgang von Computersystemen können manipulierte Speichermodule erkannt und deren Verwendung verhindert werden. Das System verweigert in solchen Fällen den Start.

Reaktion der Hersteller

Die Forschungsgruppe aus Lübeck, Birmingham und Leuven hat die Sicherheitslücke an AMD gemeldet, und das Unternehmen plant, die erwähnten Gegenmaßnahmen in zukünftigen Updates zu implementieren. Andere Hersteller, wie Intel, führen ähnliche Sicherheitschecks bereits durch.

Weitere Informationen (auch englischsprachig) erhalten Sie hier: http://badram.eu/

Kontakt für Rückfragen: Luca Wilke, Institute of IT Security, Universität zu Lübeck, Mail: l.wilke@uni-luebeck.de


 

KI verbessert Brustkrebserkennung

Forschende der Universität zu Lübeck und des UKSH veröffentlichen Studie in Nature Medicine zum...


 

Unser Newsletter: Schon abonniert?

Der nächste Newsletter erscheint am 15. Januar


 

Erfolgreiche Clinician Scientist Winterschool 2024

Campusübergreifende Vernetzung und Inspiration am Ostseestrand


 

Ehrenprofessur in Spanien für Lübecker Strahlentherapeuten

Prof. Dirk Rades, Direktor der Klinik für Strahlentherapie am Campus Lübeck, wurde von der...

Aktuelles

Mi, 23.10.2024
Ringvorlesung Wintersemester 2024/25

„(UN)WISSEN.SCHA(F)FT.RASSISMUS“ ist eine öffentliche Vorlesungsreihe des Studium Generale



So, 12.01.2025
Museumsführung für Studierende am 12. Januar

Holstentormuseum (11:30 Uhr)



Mi, 15.01.2025
Unser Newsletter: Schon abonniert?

Der nächste Newsletter erscheint am 15. Januar



Mi, 15.01.2025
Selbstentlastung, Disziplinierung und Integrationsdenken nach 1989/90

Vortrag von Max Czollek im Studium generale am 15. Januar (20 Uhr, Übergangshaus, Königstraße 54-56)



Mi, 22.01.2025
Ringvorlesung Nachhaltigkeit: Ist Genügsamkeit geil?

Die aktuelle Bedeutung einer traditionellen Tugend - Vortrag von Micha Werner (Universität Greifswald) zum Abschluss der sechsteiligen öffentlichen Vorlesungsreihe am 22. Januar (18:15 Uhr, Hörsaal T1