Rowhammer-Angriffe waren 2015 ein Novum: Durch gezieltes häufiges Lesen lassen sich benachbarte Speicherzellen in DRAM kippen. Das klingt erst mal unspektakulär, lässt sich jedoch zum unbefugten Zugriff auf Speicherbereiche missbrauchen und etwa beim Hauptprozessor zum Verschaffen von root-Rechten oder Ausbrechen aus einer Sandbox missbrauchen. Derartige hardwarebasierte Angriffe haben IT-Forscher inzwischen häufiger aufgespürt, und das Problem ist schlimmer, als zunächst angenommen wurde. Im vergangenen Jahr zeigten IT-Forscher Rowhammer-Angriffe auch auf den inzwischen populären GPUs und nannten das GPUHammer. Nun zeigen IT-Sicherheitsforscher, dass sich mit GPUHammer-Angriffen nicht nur Daten zerstören und so etwa Machine Learning durch Manipulation der Gewichte kompromittieren lassen, sondern echte Rechteausweitung erreichen lässt.

Auf einer eigens dafür angelegten Webseite stellen sie ihren „GPUBreach“ genannten Angriff vor. In der knappen Zusammenfassung erklären sie, dass durch Störung der GPU-Page-Tables CUDA-Kernel ohne weiterreichende Rechte beliebigen GPU-Speicher lesen und beschreiben könne. Das wiederum lasse sich mit neu entdeckten Speicherschutzfehlern der Nvidia-Treiber CPU-seitig verknüpfen. Im Ergebnis kommen die Angreifer so an eine root-Shell, mit der sich das System vollständig kompromittieren lässt. Dazu müsse die IOMMU (Input-Output Memory Management Unit: CPU-Schnittstelle zur Adressübersetzung mit gleichzeitigem DMA-Zugriffsschutz etwa für die Anbindung von PCIe-Geräten) nicht deaktiviert werden, was den Angriff gefährlicher mache.

Mehrere Probleme durch GPUBreach

Die IT-Forscher geben an, dass sie auf einer Nvidia RTX A6000 mit GDDR6-RAM mehrere Angriffe zeigen können. Dazu gehören die GPU-seitige Rechteausweitung, wodurch auch Szenarien mit mehreren Prozessen und Zeit-Teilung (Time-sliced Sharing) betroffen sind. Das Auslesen von geheimen Schlüsseln etwa für Post-Quanten-Kryptografie mit der Nvidia-cuPQC-Bibliothek soll möglich sein. Die Wissenschaftler geben an, dass sie die LLM-Genauigkeit von 80 Prozent auf 0 durch Speichermanipulationen herabsetzen können. Die Rechteausweitung auf der Host-CPU soll mit DMA-Zugriffen möglich sein, da Zugriffe auf Puffer des GPU-Treibers erfolgen. Dabei lässt sich der Treiberstatus stören und ein Fehler im Speicherschutz des Nvidia-Kernel-Treibers ausnutzen, um Schreibzugriff auf den Kernel zu erhalten, mit dem sich wiederum eine root-Shell öffnen lässt.

Zwei weitere GPU-Rowhammer-Angriffe sollen ebenfalls auf dem Symposium vorgestellt werden. Sie nennen sich GDDRHammer und GeForge. GDDRHammer ermöglicht jedoch keine Rechteausweitung zur root-Shell. GeForge könne das zwar auch erreichen, benötige dafür jedoch die Abschaltung der IOMMU, erläutern die IT-Forscher.

Reale Gefährdung

Die IT-Sicherheitsforscher haben Nvidia im Rahmen eines Responsible-Disclosure-Prozesses informiert und im Anschluss auch Google, AWS und Microsoft. Nvidia reagierte mit der Ankündigung einer möglichen Aktualisierung ihrer Sicherheitsmitteilung zur Abwehr von Rowhammer-Angriffen darauf. Google hat dafür eine Belohnung von 600 US-Dollar springen lassen. Um das in Relation zu setzen, sind hochriskante Sicherheitslücken in Google Chrome dem Unternehmen auch mal 43.000 US-Dollar wert. Die Gefahr durch GPUBreach schätzt Google daher nicht sonderlich hoch ein. Das Risiko solcher Schwachstellen ist meist in Cloud-Umgebungen am größten, wo sich Nutzer Rechnerressourcen mit anderen Unbekannten teilen. Unbefugte können die Angriffe dort für bösartige Zwecke missbrauchen und unbefugt auf fremde Ressourcen zugreifen.

Als Schutzmaßnahme hilft das Aktivieren von ECC für den Speicher. Wenn Angriffsmuster mehr als zwei Bits kippen können, was den IT-Forschern zufolge für DDR4- und DDR5-Systeme demonstriert wurde, hilft ECC jedoch auch nicht mehr. Insbesondere auf Laptops und Desktops ist ECC in der Regel ohnehin nicht verfügbar, sodass auf diesen Systemen derzeit kein Schutz besteht.

Links auf das umfassende PDF sowie Codebeispiele laufen derzeit noch ins Leere. Die IT-Forschergruppe will sie aktivieren, wenn sie auf dem 47. „IEEE-Symposium on Security & Privacy“ in Oakland die GPUBreach-Attacken vorgestellt haben, ab dem 13. April 2026.

(dmk)

Eine Zero-Day-Lücke in Windows verschafft Angreifern erweiterte Rechte im System. Der Entdecker hat ihr den Spitznamen „BlueHammer“ verpasst. Der anonyme mutmaßliche Entdecker hat auf einem eigens dafür eingerichteten Blog einen Link zu einem GitHub-Repository mit dem Handle-Namen „Nightmare Eclipse“ veröffentlicht, das als Proof-of-Concept den Quellcode zum „BlueHammer“-Exploit enthält. Der Entwickler will nicht erklären, wie der Exploit funktioniert: „Ihr Genies könnt das selbst herausfinden.“

Der renommierte IT-Sicherheitsforscher Will Dormann bestätigt auf Mastodon, dass der Exploit funktioniert. Er sei zwar nicht zu hundert Prozent verlässlich, aber gut genug. Dormann vermutet Frust mit dem Microsoft Security Response Center (MSRC) hinter den Umständen der Veröffentlichung. Früher sei mit dem MSRC eine exzellente Zusammenarbeit möglich gewesen. „Um Geld zu sparen, hat Microsoft die begabten Leute gefeuert, was nur noch Paragrafenreiter übrig ließ“. Er wäre nicht überrascht, wenn Microsoft den Fall des Berichterstatters geschlossen hat, weil der kein Video des Exploits übermittelt hat, was inzwischen offenbar eine Anforderung des MSRC sei.

Schwachstelle wohl durch Windows-Defender-Updates

Der Exploit scheint beim Update-Prozess des Windows Defender anzusetzen. Im weiteren Programmfluss setzt der Code dann ein neues Passwort und offenbar Rechte für den Benutzer mittels Zugriff auf die Security Account Manager (SAM)-Datenbank. Im Screenshot, den Will Dormann zum Beleg der Funktionsfähigkeit des Exploits mitliefert, ist auch ein Fenster „Windows Security“ mit einem Scan des Windows Defender zu sehen, was ebenfalls auf den Windows Defender als Einfallstor deutet. Dormann bestätigt das gegenüber BleepingComputer und erklärt, dass der Exploit eine „Time-of-Check Time-of-Use“-Schwachstelle (TOCTOU) und Dateipfad-Wirrungen missbrauche.

Der Exploit verschafft unter Windows 11 Systemrechte. Auf Windows Server haben andere Kommentatoren weniger Erfolg, Dormann zeigt aber auch da, dass Angreifer dadurch immer noch Administratorrechte erlangen können. Der Autor des PoCs räumt auf GitHub auch ein, dass der Code einige Bugs habe, wodurch er nicht funktionieren könne, die er möglicherweise später korrigieren würde.

Microsoft hat derzeit noch kein Update in petto, mit dem sich die Schwachstelle ausbessern ließe. Ein CVE-Schwachstelleneintrag liegt bislang ebenfalls noch nicht vor. Gegenüber BleepingComputer sagte ein Microsoft-Sprecher am Dienstag dieser Woche, dass das Unternehmen sich verpflichtet fühle, Schwachstellenberichten nachzugehen und betroffene Geräte zu aktualisieren, um Kunden so schnell wie möglich zu schützen. Zudem unterstütze Microsoft die koordinierte Schwachstellenveröffentlichung, die am Ende Kunden und IT-Sicherheitsforschern helfe.

Am März-Patchday hatte Microsoft bereits zwei Sicherheitslücken der Kategorie „Zero Day“ geschlossen. Unklar ist, ob die Entwickler sich bis zur kommenden Woche zum nächsten Patchday um die Sicherheitslücke kümmern.

(dmk)

Die Zeit drängt, die ersten Secure-Boot-Zertifikate von Microsoft laufen ab Juni 2026 ab. Die Verteilung der aktualisierten Zertifikate erfolgt schrittweise für Desktop-Systeme, bei Servern und in Unternehmensumgebungen müssen Admins dazu aktiv werden. Ab dieser Woche will Microsoft Updates für die Windows-Sicherheit-App verteilen, die danach den Status des Secure-Boot-Zertifikatsupdates auf Maschinen anzeigt.

Microsoft hat das kommende App-Update im Message-Center der Windows-Release-Health-Notizen angekündigt. Eine grüne, gelbe oder rote Markierung soll dann am Symbol von „Sicherer Start“ anzeigen, ob Maßnahmen nötig sind. Weitere Details liefert ein Support-Beitrag von Microsoft dazu. Auf verwalteten Maschinen deaktiviert Microsoft die Erweiterungen für Secure-Boot-Zertifikate standardmäßig. Auf Servern startet der Windows-Sicherheitsbenachrichtigungsdienst nicht automatisch. Wenn Admins hier Infos angezeigt bekommen möchten, müssen sie das erst aktivieren. Das gelingt durch das Anlegen des Registry-Schlüssels „HideSecureBootStates“ unter dem Zweig „HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender Security Center\Device security“. Bei „0“ zeigt die App den Secure-Boot-Zertifikat-Status, „1“ deaktiviert die Anzeige. Ist der Eintrag nicht vorhanden, wählt Windows demnach die Standardvorgabe.

Mehrphasige Warnstufen

Die erste Phase zeigt den Status lediglich unter der Gerätesicherheitsseite an, zudem lediglich als grün oder gelb, was für „Achtung“ stehen soll und sich von Nutzern durch Wegklicken in den grünen Status versetzen lässt. Das kommt für Windows 11 ab 23H2 und Windows Server 2025 ab dem 8. April 2026 als App-Update, für Windows 10 ab 22H2 und Windows Server 2019 und 2022 ab dem 14. April als kumulatives Update, offensichtlich zum Microsoft-Patchday.

Die Phase 2 bringt App-Benachrichtigungen für den Fall, dass Aktionen seitens der Nutzer oder Admins nötig werden oder wenn der Secure-Boot-Status nicht funktionsfähig ist. Der gelbe Status erlaubt weiterhin das Verwerfen als Option. Hinzu kommt für den kritischen Status „rot“ die Auswahl „Ich akzeptiere die Risiken, erinnere mich nicht erneut“. Das App-Update für die zweite Phase für Windows 11 und Server 2025 plant Microsoft am 16. Mai 2026, für Windows 10 und Server 2019 und 2022 visiert das Unternehmen das kumulative Patchday-Update am 13. Mai 2026 an.

Die Windows-Sicherheit-App lässt sich durch Eingabe des Namens im Startmenü oder über die Windows-Einstellungen, dort unter „Datenschutz und Sicherheit“ – „Windows-Sicherheit“ mit einem Klick auf die Schaltfläche „Windows-Sicherheit öffnen“ starten. Sie liefert einen umfassenden Überblick über den Status diverser Sicherheitskomponenten und -subsysteme von Windows. Unter „Gerätesicherheit“ ist der Bereich „Sicherer Start“ zu finden, wo die Markierung künftig zu finden ist.

Lange Vorbereitung

Microsoft hat Ende Juni 2025 angefangen, IT-Verantwortliche ebenso wie Windows-Nutzer und -Nutzerinnen auf den notwendigen Zertifikatsaustausch für Secure-Boot vorzubereiten. „Bereite dich auf das erste globale, großflächige Secure-Boot-Zertifikat-Update vor“, warnte Microsoft da. Die aktualisierten Secure-Boot-Zertifikate landen inzwischen mit eigenen Windows-Updates sowie seit den Windows-Update-Vorschauen aus dem Februar als Bestandteil von Windows-Updates zum regulären Microsoft-Patchday auf Windows-Rechnern.

(dmk)