News Sicherheitslücke: Sinkclose betrifft alle AMD-CPUs seit fast 20 Jahren

[cookie_dent]

Und wenn ich mir jetzt eine über 20 Jahre alte CPU besorge, dann bin ich doch fein raus, oder ?

Die hat vermutlich noch mehr, bisher ungefixte, Schwachstellen.

 

[ElliotAlderson]

@Ranayna das sehe ich auch so!

 

[KnolleJupp]

wieso nicht? wenn die malware da mit einer lücke reingekommen ist, dann kann die malware auch mit derselben lücke wieder überschrieben werden.

Nein, geht nicht. Ich versuche es mal einfach zu erklären, wie ich es verstanden habe, wobei ich dazu sagen muss das ich mich mit diesen Tiefen einer Systemarchitektur nicht auskenne. Das ist also gefährliches Halbwissen.

Es müssen mehrere Sicherheitslücken gleichzeitig ausgenutzt werden.
Eine Lücke, um erstmal Zugriff auf die Kernel-Ebene zu erhalten. Eine weitere Lücke in den Steuerregistern.
Und final eine Lücke in der "TClose"-Funktion.

Der Zugriff auf den System Management Mode funktioniert grob so: TClose weiß auf welche dafür reservierten Speicherbereiche man wie zugreifen muss, an welcher Stelle man was mit welcher Instruktion ändern muss, um am System Management Mode was zu ändern.

"Hallo TClose, ich will da was ändern/umstellen/was auch immer." - "OK, mache ich."

Die Schadsoftware macht nun folgendes: Sie sagt TClose das es auf einen bestimmten, manipulierten Speicherbereich verweisen soll.
Damit kann man sich Systemrechte einräumen und da das sogar noch unterhalb von Ring-0 abläuft, kann man quasi umbemerkt auf alles zugreifen
und auf Betriebssystemebene hat man aus Sicherheitsgründen keinen Zugang dazu, weil man da eben allerhand gefährlichen Unsinn anstellen kann.

Das heißt von außen betrachtet, auf reiner Software-Ebene, weiß man nicht wo genau die schadhafte Änderung sitzt. Da wird eine eigentlich als Sicherheitsfunktion gedachte Prozedur ausgenutzt. Das Betriebssystem hat keinen direkten Zugriff auf diese Speicherbereiche, weiß nichtmal wo diese Speicherbereiche liegen.

Also kann man die Änderungen auch nicht rückgängig machen.
Der einzige Weg wäre mit einem Hardware Flash Programmer direkt auf die Anschlüsse bestimmer Speicherbausteine zu gehen, den Inhalt auszulesen, detailliert zu analysieren, ob da was verdächtiges zu finden ist und das dann gezielt zu entfernen, indem ich direkt physisch auf die Hardware zugreife.

Das ist natürlich für den heimischen Spiele-Rechner nicht darstellbar.
Also, nur weil man etwas über eine Software einspielen kann, heißt das noch lange nicht das man es über Software auch wieder entfernen kann.

Der angekündigte Patch schließt auch nur diese Lücke, ist das System aber bereits kompromitiert, nützt der Patch auch nichts mehr.

 

[TenDance]

Nicht wirklich. Man braucht ja vorher schon Root-Zugriff, um diese Lücke ausnutzen zu können.

Das stimmt, allerdings ist das jetzt für bestimmte Akteure das geringste Problem.
Alle staatlichen Akteure und Zulieferer für die üblichen Terrorstaaten wie zum Beispiel Deutschland bieten so etwas als "Kit" an. Ja, auch die Deutsche Polizei hat das Handwerkszeug eingekauft um sich Root z.B. per USB-Stick am Flughafen zu verschaffen.

Solche Eskalationslücken sind vor allem für Journalisten, Menschenrechtsgruppen und andere Aktivisten welche den Staaten auf die Finger schauen eine reale Bedrohung. Oder auch einfach nur Menschen welche mit Laptop/Handy nach China einreisen...

Dass diese Lücke auch über einen reinen Internetkontakt/Mail ausgenutzt werden kann macht sie um so schwerwiegender. Die meisten "Gefahren" konnte man ja damit abwiegeln dass man eine gewisse physische Nähe braucht oder direkt Zugriff auf die Geräte.

 

[1ST1]

Ich verstehe an dem Angriff einiges noch nicht. Es wird gesagt, dadurch, dass die Schadsoftware auf Ebene -2 läuft und damit höhere Rechte als der Windows/Linux-Kernel hat und sich auch wirkungsvoll vor diesem verstecken kann und auch nicht durch eine Neuinstallation vertrieben werden kann. Jetzt stellt sich mir aber die Frage, wo ist die Schadsoftware denn gespeichert, wenn sie sogar eine Systemneuinstallation überlebt? Und die zweite Info, die ich vermisse, wie kann sie mit ihrem "Herrchen" kommunizieren? Netzwerke sind sehr individuell, haben evtl kein DHCP (insbesondere Server!), direkter Internetzugang ist auch nicht immer möglich (Proxy!), das Ding hat keine Chance nach einem WLAN-Passwort zu fragen und so ziemlich jedes verschiedene PC Modell hat eine andere Netzwerk/WLAN-Karte, daher ist an dem Speicherort so viel Platz für so viele Netzwerkkarten-Treiber, dass es überhaupt eine Verbindung aufbauen kann und wie überwindet "es" die anderen Hürden?

Also, wie realistisch ist ein Schaden durch so einen Angriff überhaupt?

 

[pitu]

AMD ist durch!

 

[B3rry]

Leute! Atmen! AMD hat selbst gesagt, dass es unfassbar schwer ist, da was ohne physichen Zugriff zu machen und das versiegelte und verpackte CPUs manipuliert worden sind....bitte! Behaltet die Nerven.

Und nochmal. Wir sind alle unwichtig.

Na wenn AMD das sagt dann vertrauen wir doch mal blind darauf. Das Firmenlogo ist ja schließlich nicht blau.

 

[t3chn0]

Eine relativ aktuelle CPU wie den Ryzen 3000 als "alt" zu bezeichnen ist schon eine bodenlose Frechheit von AMD. Gerade in Zeiten, wo CPUs locker 10 Jahre in Rechnern rumwerken...

Fimdest Du? Ryzen 3000 ist 2019 erschienen und 5 Jahre in der Tech Branche ist schon lange. Ich würde eine 5 Jahre alte CPU auch als alt bezeichnen.

Selbst ein 5 Jahre altes Auto wäre für mich schon "älter".

Das sieht wohl jeder anders.

 

[drago-museweni]

Jo interessant ist das Ganze, aber wieder mehr Sturm im Wasserglas als alles andere, deswegen geht die Welt/PC nicht unter.

 

[Vulture]

AMD ist durch!

Im Gegensatz zu Intel?
Musste lachen.

 

[1ST1]

AMD ist durch!

Und Intel mit Spectre/Meltdown mit seinen unzähligen Varianten aber doch wohl auch, oder?

Was bleibt dann? Rockwell produziert den 6502 immer noch, und wenn du dich etwas beeilst, bekommst du bei Zilog noch ein paar Z80. Deren Fehler sind seit über 40 Jahren bekannt und die "Illegalen Opcodes" des 6502 sind reichlich gut dokumentiert, auch was man damit erstaunliches machen kann...

 

[KnolleJupp]

Sowohl Sinkclose als auch die altbekannten Spectre/Meltdown usw. sind extrem schwierig und umständlich auszunutzende Lücken.

Insofern muss man schon direktes und lukratives Ziel eines Angriffs sein. Das holt man sich nicht auf den Rechner indem man unbedarft irgendwo hin klickt.
Ich wüsste nichtmal das es überhaupt eine Schadsoftware für Spectre/Meltdown gäbe und die Lücken sind einfacher auszunutzen als Sinkclose.
Das blöde an Sinkclose ist die Tatsache das man es nicht mehr los wird, aber dazu müsste man es sich erstmal einfangen, was mehr als unwahrscheinlich ist.

Das ist mal wieder eine der Sicherheitslücken, die spektakulär klingen, aber mehr in der Theorie existieren als in der Praxis.

 

[DevPandi]

Unabhängig davon wie schwerwiegend diese Lücke nun wirklich ist und wie sehr die Hütte schon brennen muss, um sie ausnutzen zu können: wie man so eine Steilvorlage noch versemmeln kann, kann man sich eigentlich nicht ausdenken. Eigentlich.

AMD schafft es in so einem Fall leider wirklich sich immer irgendwie in die Nesseln zu setzen. Was ich zu lesen bekam ist ansich gesehen ja richtig. Im Endeffekt könnte AMD jetzt aktuell aber stark von den Fehlern von Intel profitieren, macht es aber nicht, dabei müssten Sie nur etwas höher Springen.

Ihr erwartet doch nicht ernsthaft, dass 20 Jahre alte Hardware geupdatet wird?

Nein, um Opertrons, Athlon 64 und Phenom, selbst um FX geht es in diesem Fall auch nicht. Ryzen 1x00 kam 2017 auf den Markt, das sind 7 Jahre und bei Ryzen 2x00 sind es nun 6 Jahre, selbst da kann man bereits darüber diskutieren. Bei Ryzen 3000 sieht es aber anders aus, hier sind wir theoretisch immer noch im Abschreibungszeitraum der üblichen 5 Jahre. Das hat also schon einen gewissen faden Beigeschmack und dass muss man auch so schreiben.

Jetzt stellt sich mir aber die Frage, wo ist die Schadsoftware denn gespeichert, wenn sie sogar eine Systemneuinstallation überlebt?

Können den den Flash-Bausteinen für das UEFI sich einnisten in so einem Fall. Dort ist heute genug Platz und bestimmte Schadsoftwares kommen auf wenige KB.

Also, wie realistisch ist ein Schaden durch so einen Angriff überhaupt?

Sagen wir mal so - auch an ein paar andere, die ja auf Meltdown und Co verweisen:

Da die Forscher die Lücke AMD bereits im Oktober gemeldet haben und bei so einer schwerwiegenden Lücke die Forscher die Veröffentlichung erst vornehmen in Abstimmung mit dem Hersteller: So lange keiner der üblichen Akteure wie die NSO Group und Co frühzeitig an Informationen heran kommen, dürfe sich die Lücke wie Meldtown und Co nicht mehr wirklich für Angriffe eigenen.

Dazu kommt halt, dass man hier auf andere Sicherheitslücken angewiesen ist, um überhaupt in den Zustand zu kommen, diese Auszunutzen.

Man sollte solwas aber nicht auf die leichte Schulter nehmen. Viele dieser Sicherheitslücken werden in der Regel nicht genutzt oder können nicht genutzt werden, weil alle Akteure relativ zeitnah handeln und auch entsprechend kooperieren.

Meltdown und Spectre ist auch nie so heiß geworden, weil AMD, Intel aber auch die Browser-Hersteller und Co alle Zeitnah reagiert haben und entsprechend quasi zu Veröffentlichung, die System schon wieder sicher waren.

Man merkt hier aber an ein paar Beiträgen, dass manche den Brückenschlag nicht vollzogen bekommen, dass solche Lücken in der Regel nicht kritisch werden, weil entsprechend rechtzeitig gehandelt wurde. Um mal eine etwas einfache Methapher zu bekommen: Das ist ungefähr so, wie Menschen die sich jeden Tag mit Sonnencrem eincremen um keinen Sonnenbrand und ggf. Hautkrebs zu bekommen, eine dritte Person dann aber sagt, dass Hautkrebst ja nicht so "schlimm" sein kann, es unrealistsch ist ihn zubekommen.

Jetzt fehlt nur noch, dass der nächste Schluss kommt: Sonnencrem ist ja unnötig.

 

[ChrisMK72]

Einfach laut genug sein und AMD entsprechend kritisieren, dann kommt vllt doch noch ein entsprechender Fix.

Steve! Steve?

Steve von GN wird's schon richten!

Edit: Mit Unterstützung von Hardware Unboxed?

 

[joshlukas]

Es obliegt dir jedoch nicht zu differenzieren, welche Bedrohungslage welcher Anwender für Dritte darstellt. Deine Deduktion ist folglich inkonsistent und muss verworfen werden.

Warum verbietest du ihm das zu differenzieren? Darfst du das? Echt lost.

 

[DKK007]

Artikel-Update: Auf Nachfrage der Redaktion bei AMD, warum nur Ryzen 1000, 2000 und 3000 kein Update mehr bekommen, hat die Redaktion eine generische Antwort von AMD bekommen, in der darauf verwiesen wird, dass es in der schnelllebigen Techbranche üblich ist, dass der Softwaresupport für ältere Produkte eingestellt wird.

Wo bleibt die Reaktion der EU? Die wollte doch die Hersteller zu längeren Updates verpflichten.

Das wäre doch mal ein guter Moment um einzugreifen.

 

[KnolleJupp]

Jetzt fehlt nur noch, dass der nächste Schluss kommt: Sonnencrem ist ja unnötig.

Funfact: Schau dich mal auf Tiktok um, da gibt es genug Videos, die von der Nutzung von Sonnencreme abraten, weil das gefährliches Teufelszeug ist...
Unterschätze niemals die Dummheit der Menschheit.

 

[DevPandi]

Unterschätze niemals die Dummheit der Menschheit.

Frei nach Albert Einstein: "Es gibt zwei unendliche Dinge, das Universum und die menschliche Dummheit. Beim ersteren bin ich mir nicht sicher."

 

[maximus_hertus]

Was viele vergessen: Ryzen 3000 kam zwar vor 5 Jahren auf den MArkt (7.7.19), jedoch gab es ein Jahr später noch einen Refresh (Ryzen 3000 XT).

Hier reden wir dann "nur noch" von 4 Jahren.


So oder so macht AMD halt AMD Sachen bzw. deren Marketing.

Unabhängig wie "sinnvoll" das in der Praxis ist, ist das einfach nur schlechte PR und man hilft unter Umständen Intel, da man nun selber sich in diese Position begibt.

Wie geschrieben, AMD bleibt AMD. Leider.

 

[Seven2758]

Und wenn ich mir jetzt eine über 20 Jahre alte CPU besorge, dann bin ich doch fein raus, oder ?

Das brauchst Du noch nicht mal, die Aussage von @DevPandi ist leider nicht korrekt.
Am Samstag wurde eine schwerwiegende Sicherheitslücke in AMDs CPUs bekannt, die in allen CPUs seit mindestens 2006 vorhanden sein soll.

Bei Bleepingcomputer gibt es eine bessere Übersicht, aus der deutlich wird, dass AMD CPUs bis 2017 betroffen sind: EPYC Modelle (ab 2017); Ryzen Modell (2017); AMD Athlon 3000 series Mobile (Dali, Pollock 2020); AMD Instinct MI300A (2023).

Heise schreibt auch korrekterweise: Betroffen davon sind mindestens alle AMD-Prozessoren der letzten 10 Jahre (bis Ryzen 7000).