News Sicherheitslücke: Sinkclose betrifft alle AMD-CPUs seit fast 20 Jahren

[DeltaPee]

Also wenn ein Angreifer bereits auf diesem Level Zugriff hat, ist denke ich mal sowieso alles bereits vorbei. Die Lücke ist halt hilfreich um sich dauerhaft auf einem System einzunisten und auch unerkannt OS-Neuinstallationen zu überleben.

Problem ist, dass du das System nicht mehr sauber bekommst. D.h. eine einfache Neuinstallation nach dem Angriff ist nicht mehr möglich. Der Rechner ist weiterhin infiziert, d.h. wenn du nicht gerade Bock hast dich mit SPI Flashen usw. zu beschäftigen, kannst du das Ding nur in die Tonne treten.
Ich finde es insofern Gefährlich, dass man ganze Infrastrukturen lahmlegen könnte, oder eben großflächig massive Schäden. Für Terroristen und organsiserte Erpresserbanden (Hacker) durchaus auch ein Lohnenswerte Sache.

 

[Alesis]

doch?

Ah, ok. Ich hatte immer nur nach einen Ryzen 2200G geschaut, der keine offizielle W11 Unterstützung hat und dies auf alle Ryzen 2000 gemünzt.
Weil der Rechner von meinem Arbeitgeber eben diese APU hat.

 

[Ranayna]

Bin zwar von der Problematik nicht betroffen, da es für mein Mainboard ein Update gegeben hat, aber dennoch finde ich sowohl die Ausrede von AMD im Update eine Frechheit, als ebenso wie lange AMD sich Zeit gelassen hatte hier das Update zu veröffentlichen.

Welches Mainboard hast du?
Jetzt schon BIOS Updates taet mich ueberraschen, so schnell sind die Boardhersteller sonst ja eher nicht, und das gefixte AGESA ist gradmal zwei Wochen alt.
Waehre aber mal wohltuend einen Boardhersteller zu haben der ein bisschen fixer ist

 

[Tanzmusikus]

Ryzen 2200G

Ein 2200G ist ZEN-µArchitecture. Ryzen 2000 series ist ZEN+ µArchitecture 😉
https://www.amd.com/de/product/7226
https://en.wikichip.org/wiki/amd/cores/raven_ridge
https://www.techpowerup.com/cpu-specs/ryzen-3-2200g.c1978

https://en.wikichip.org/wiki/amd/microarchitectures/zen+

 

[mibbio]

Auf Golem gibt es übrigens einen frischen Artikel, der den SMM mal genauer beleuchtet und warum der potentiell so ein großes Sicherheitsrisiko darstellt. https://www.golem.de/news/sicherhei...-mode-ist-schon-lange-kaputt-2408-187959.html

 

[blackiwid]

Das Kernelrootkits in der Lage sind eine Exe auf dem Dateisystem im Autostart zu erstellen zeigt bei z.B. bei Dell oder HP die Software "Computrace".

Aber der Kernel ist im Betriebssystem ich dachte es geht darum entweder das UEFI oder irgendwo auf der CPU wo auch immer das sein soll, den wenns im Kernel ist also auf der Festplatte kann man bei Ebay getrost solche CPUs kaufen weil die dann nicht infiziert sind.

 

[TechFunk]

Nein eben nicht.

Das Problem wenn ich es richtig verstanden habe, ist, das es sich in der HARDWARE einnistet. Salopp gesagt

 

[blackiwid]

Das stimmt so nicht. Es gibt auch bei Gamern genug Software die im Ring 0 läuft (zb Anticheat) wenn sowas infiziert wird kann sich das festsetzen und dein schönes Gamingrig ist "für immer" infiziert.

Sagt wer? Nur weil sich ein installierter Virenscanner irgendwie austricksen lässt, heißt es nicht das es keinerlei Software geben kann die das erkennen kann und auch löschen kann. Man könnte wahrscheinlich sogar die selbe Lücke benutzen um den Virus oder was auch immer da drin ist überschrieben werden kann.

Das ist Teil der Angstmache ob bewusst oder nicht, es wird angedeutet das Virenscanner überlistet werden könnten, und schon denkt jeder ein Virenscanner oder ähnliche Software kann dies nicht fixen... konkret wird das aber nicht gesagt, da bräuchte es Butter bei de Fische.

Versteh auch nicht wo auf ner CPU sich ein Virus ohne Strom wenn der PC aus ist einnisten soll... in der Firmware?

 

[Emerald Flint]

Einfach laut genug sein und AMD entsprechend kritisieren, dann kommt vllt doch noch ein entsprechender Fix.
.....
Hat damals bei Zen 3 und dem Support auf 300/400er Boards auch geklappt, weshalb AM4 überhaupt erst so erfolgreich wurde im Nachhinein.

Genau mein Gedanke.
Ist aber schon traurig, daß AMD mit einem derartigenm Vorgehen schon wieder den gleichen Fehler macht.

 

[mae]

Agesa 1.2.0.cb ist doch draußen? Nur halt von den Mainboard-Herstellern noch nicht eingearbeitet?

Eben. AMD hat sich zu lange Zeit gelassen, und als Ergebniss sind die Benutzer von AMD-Prozessoren nicht geschuetzt gegen diese inzwischen veroeffentlichte Luecke, selbst wenn sie einen der Prozessoren haben, fuer die AMD ein Update hergibt.

 

[DKK007]

Versteh auch nicht wo auf ner CPU sich ein Virus ohne Strom wenn der PC aus ist einnisten soll... in der Firmware?

Vielleicht den Artikel mal lesen vor dem Antworten.

Es geht doch gerade darum, dass der Schadcode in die Firmware geschrieben wird.

 

[frazzlerunning]

Ah, Du schreibst also mal schnell einen Patch für ein Ring-2 Subsystem. Und testest dann auch in 5 Tagen, ob der Patch nicht wieder was anderes bricht.

Niemand kann Zaubern, auch Intel hat für Meltdown Patches Monate gebraucht.

Und: Die Lücke ist jetzt bekannt, aber der Proof of Concept noch nicht öffentlich (soweit ich weiß).

Wenn also jemand die Lücke schon vorher gekannt hat, hat sich nichts geändert.
Wenn man von Sinkclose jetzt erfahren hat, muss man immer noch selbst schauen, wie man sie ausnutzt, eine Anleitung gibts noch nicht.

 

[blackiwid]

Vielleicht den Artikel mal lesen vor dem Antworten.

Es geht doch gerade darum, dass der Schadcode in die Firmware geschrieben wird.

Und wie soll das gehen ohne eine Firmware reverse engineeren oder ohne irgendwas schreiben. Und in ner Firmware sind keine Netzwerktreiber drin... also die ausgelieferte Ebay CPU halte ich immer noch für wilde Fantasie...

Bestenfalls könnte so ne Firmware eine bestimmte Windows version so irgendwie ausnutzen das sie dessen Netzwerk benutzen kann, aber das ist dann nicht universell, und würde dann unter Linux nicht funzen, außer man schreibt es nur oder auch dafür. Also das wäre ein sicher extrem aufwändiger hack, wenn überhaupt möglich.

 

[aikatv]

das hat schon nen faden beigeschmack. Plane mir gerade nen 5950x gebraucht zu kaufen.
Es gibt warscheinlich nicht mal ne möglichkeit für den 0815 oder den admin user den hack zu identifizieren...

 

[mibbio]

Traurige Nachricht für Fanboys, alle Anderen können aufathmen.

Der SMM bei Intel dürfte vermutlich nicht weniger löchrig sein, da das Konzept des SMM an sich "kaputt" ist. Der ist mittlerweile einfach viel zu komplex, um den wirklich frei von Lücken zu bekommen. Siehe in Beitrag #374 meinen Hinweis auf den Artikel bei Golem zum SMM.

 

[t3chn0]

@Convert

Also ich bin auch dafür, dass AMD hier alle Kunden mit den notwendigen Maßnahmen versorgt. Was das Alter angeht bin ich jedoch nicht bei Dir. Wenn ich mir überlege, dass ich damals einen 3950X hatte und wie lange das her ist, so ist das für mich gefühlt eine Ewigkeit her, zumal ich jedes Jahr 1-2 aufrüste.

Auch beim Auto hatte ich einen neuen Leon Cupra ST (5F) BJ 2017. Der wurde innerhalb der Familie in den 7 Jahren 2x verkauft und war nach den 7 Jahren und 54.000Km einfach wirklich alt. Vor allem im Vergleich zum Cupra Formentor ist das Fahrzeug sehr schlecht gealtert und komplett outdated. Ich habe jetzt meinen zweiten Formentor. Mein erster war einer der Ersten 2020 und jetzt habe ich einen der letzten vFL Modelle seit ca. 2 Monaten und obwohl der Formentor erst 2020 überhaupt vorgestellt wurde, wirkt mein Modell (gerade im Innenraum) auch outdated im Vergleich zum Facelift, welches sehr anders aussieht.

Mein Auto ist zwei Monate alt und ich finde es schon nicht mehr aktuell. Man sieht ja selbst wie lange die Hersteller Garantie auf die Fahrzeuge geben. Irgendwas zwischen 2-5 Jahre und das bei brandneuen Fahrzeugen.

Nur weil es noch Restbestände von ZEN2 gibt, ist die Architektur selbst doch sehr angestaubt, was ja auch die Performance-Messungen klar verdeutlichen. Ich würde selbst ZEN3 als "alt" bezeichnen. Die Plattform ist ja schon längst EOL, obwohl noch vor kurzem der 5700X3D vorgestellt wurde. Der ist für mich auch veraltet, zumal es jetzt schon die 9000er gibt. Damit ist mein 7950X3D auch nicht mehr aktuell.

Wie gesagt, das sieht jeder anders.

 

[Seven2758]

@DevPandi
Eine 20 Jahre nicht entdeckte Lücke und die Meldung von AMD der betroffenen CPUs der letzten 10 Jahre ist aber ein Unterschied. Die Antwort hast Du sogar später selbst gegeben.

The researchers report that Sinkclose has passed undetected for almost 20 years, impacting a broad range of AMD chip models.

Nach dem, was die Forscher schreiben, ist die Lücke halt seit gut 20 Jahren "unentdeckt", würde in dem Fall aber auch nur die Prozessoren betreffen, die damals schon die SMM hatten.

Ja, ich weiß "Clickbait", aber irgendwie muss man doch etwas Krawall machen.

 

[Ranayna]

bei Dell oder HP die Software "Computrace".

CompuTrace ist eigendlich eher ein "Proof of Concept" was ein UEFI (Wobei es CompuTrace auch schon zu BIOS Zeiten gab) so alles anstellen kann.
Wenn Computrace aktiviert ist, injiziert das UEFI eine Application ins Windows (vermutlich irgendwie ueber die EFI Partition), die von Windows dann auch ausgefuehrt wird.
So bleibt CompuTrace aktiv, auch wenn das Windows neuinstalliert wird, oder sogar wenn eine neue Festplatte eingebaut ist.
Vor ein paar Jahren ist Lenovo damit auf die Fresse gefallen, weil die ein Serviceprogramm aehnlich wie Computrace in Windows geschoben haben, das dann aber eine Sicherheitsluecke hatte.
Und mir liegt dunkel was an dass da bei irgendeinem Boardhersteller auch mal was war.

 

[harrysun]

Wenn euch Sicherheit so viel bedeutet, d.h. Wert ist in unser Marktwirtschaft, dann könnt ihr dies durch einen Kauf eines neuen Systems unter Beweis stellen. Ansonsten verdient ihr es nicht...

 

[mae]

Ah, Du schreibst also mal schnell einen Patch für ein Ring-2 Subsystem. Und testest dann auch in 5 Tagen, ob der Patch nicht wieder was anderes bricht.

Wenn mich AMD dafuer bezahlt, gerne. Wenn die 3 Monate fuer den Patch verwendet haetten und dann 3 Monate fuer das Testen, haetten sie noch immer 3,5 Monate gehabt, um die neue Firmware unter die Leute zu bringen.

Niemand kann Zaubern, auch Intel hat für Meltdown Patches Monate gebraucht.

Welche Meltdown Patches? Meltdown ist in Hardware gegossen, und betroffene CPUs sind noch immer angreifbar. Auf der Intel-Seite steht zu Meltdown entweder "Software" (also dass das die Software-Leute richten sollen), oder "not affected" (dass diese Hardware also keinen Meltdown-Bug hat); Letzteres hat etwas ueber 1 Jahr gedauert (sie erfuhren in Juli 2017 von Meltdown, und kuendigten Whiskey Lake (bezueglich Meltdown "Not Affected") am 28.8.2018 an und es dauerte offenbar bis 1/2019, bis es Produkte und Reviews gab. Also da hat Intel es geschafft, in 19 Monaten die Hardware diesbezueglich zu ueberarbeiten, zu validieren, zu produzieren, und in fertige Produkte zu bringen. Angesichts dessen, wie lange Hardwareentwicklung braucht, ist das erstaunlich schnell.

Wenn AMD die wesentlich leichtere Aufgabe in 9,5 Monaten nicht zusammenbringt, dann waren sie daran offenbar wenig interessiert. Die Sache mit Ryzen 3000 und aelter zeigt das auch.