News Sicherheitslücke: Sinkclose betrifft alle AMD-CPUs seit fast 20 Jahren

[jimmy13]

Mal abgesehen davon, dass älter CPU kein Update bekommen sollen: Habe hier einen Ryzen 5800X, der ja bisher berücksichtigt werden soll. Allerdings sitzt der auf einem Asus Prime B350-Plus Board, das jetzt schon etwas in die Jahre gekommen ist.
Wenn ich das richtig verstanden habe, müsste Asus für dieses Board ein neues UEFI veröffentlichen, das die entsprechende AGESA hat. Dann frage ich mich weiter, wie hoch die Wahrscheinlichkeit wohl ist.

Edit: Hab gerade geschaut und das letzte Update kam vor ziemlich genau einem Jahr (15.8.23)

 

[nebukadnezar.ll]

wenn es öffentlich wird sollte schon etwas unternommen werden

Ich denke, es ist seit einiger Zeit bereits im pösen pösen "Darknet" schon bekannt.

 

[M-X]

Gähn. Ist der Rechner soweit befallen, dann hilft eh nur Komplettabriss.
Dann machst Bios und Treiber neu drauf und gut ist. Kernelupdate inklusive.

Hast du neue Erkenntnisse (wusste nicht dass Experten für die Lücke hier im Forum sind) oder eher hast du den Text nicht gelesen und weißt damit gar nicht das du quasi nix machen kannst wenn die Kiste befallen ist ?

 

[Ranayna]

muss man rein theoretisch ab jetzt von gebrauchte AMD CPUs Abstand halten?

Ich denke eher nicht, zumindest nicht von CPUs die gefixt werden.
Wobei da die Vermutung mitspielt, dass von Malware geoeffnete Register durch das Update gefixt werden.

Kritischer sind aber Mainboards, denn da landet am Ende die persistente Malware im UEFI. Und die bekommt man - wenn sie nicht dilletantisch geschrieben ist - hinterher nur weg, wenn du unabhaengig von der normalen Updateprozedur (die durch Malware unterwandert werden kann) den UEFI Flash neuschreiben kannst.
Waere mal interessant zu recherchieren in wieweit Boards mit einem Sidechannel Flash (also UEFI Update ohne verbaute CPU) da betroffen sind. Diese Methode koennte so low-level sein das sich auch ein infiziertes UEFI nicht wehren kann.

Könnte man den Fehler denn mit einem Microcode Update lösen?

Bei den Server CPUs verstehe ich das so, das man ueber das Betriebssystem absichern kann ohne ein neues UEFI. Bei den Desktop CPUs scheint das aber nicht der Fall zu sein, da muss ein UEFI Update her.

Wer ein MSI Board hat und sich Sorgen macht, sollte uebrigends nicht warten bis es neue UEFIs gibt.
Denn MSI Boards sind von einer aehnliche Lucke betroffen, sowohl Intel als auch AMD Boards, die aehnliches ermoeglicht:
https://jjensn.com/at-home-in-your-firmware/
MSI hat fuer diese Luecke schon erste gefixte UEFIs zum Download, wie zB fuer mein B550 MPG Gaming Edge WiFi.

 

[blackiwid]

Ich arbeite in dem Feld verdiene genau 0 € an der Lücke und warne die Leute trotzdem. Also mal halblang.

Kam jetzt irgend ein Argument warum massive Angstmache gut ist? Und das es gut ist 1mio Leuten Angst zu machen um 1 Person davon real zu schützen (wenn überhaupt, warte noch auf Spectre Opfer). Und Leute vielleicht was bei Angst sehr üblich ist total irrational werden? Vielleicht ihr CPU raus reißen und upgarden obwohl sie nicht müssten und damit ein paranoischen Schaden der für sie nie eingetreten wäre zu verhindern aber finanziell sich zu schaden, und weniger Geld in der Rente zu haben oder 1 Urlaub oder irgendwas nicht machen zu können und dadurch unglücklicher sind... Unsere Gesellschaft ist tief gespalten du willst mir sagen das die Angstmache daran keinen Anteil hatte?

Und sachlich um wahrscheinliche Szenarien auf zu klären ist schlecht, nein "ALLE WERDEN STERBEN" das ist besser "ganz schwerwiegend" blabla... immer überall Reizüberflutung...

 

[nebukadnezar.ll]

Intel wird es freuen

Intel freut derzeit gar nicht. Alle "K"-CPUs der 13er und 14er Reihe berennen nach einer Zeit durch... Liest Du keine Computerbase Nachrichten?

 

[TaurusReloaded]

Unglaublich kritisches Problem, versteh nicht wie das so kleingeredet werden kann...

Weil es praktisch aufgrund der Komplexität nicht relevant ist und es bereits zu Teilen Firmwareupdates gibt...
Die genannten Szenarien sind rein theoretische Ableitungen.

Allzu einfach scheint der Einsatz der als CVE-2023-31315 registrierten Sinkclose-Lücke allerdings nicht zu sein. "Ich glaube, das ist der komplexeste Fehler, den ich je ausgenutzt habe", erklärte einer der Forscher.

AMD betonte zudem gegenüber Wired, für einen erfolgreichen Angriff benötigten Angreifer bereits Kernelzugriff (Ring 0). Das Zielsystem muss also bereits auf hoher Berechtigungsebene kompromittiert sein.

Wie aus einem Security Bulletin von AMD hervorgeht, gibt es bereits Firmwareupdates für zahlreiche Epyc-, Athlon- und Ryzen-CPUs. Für einige Embedded-Prozessoren kommen entsprechende Patches allerdings erst im Oktober. - Golem

 

[M-X]

Kam jetzt irgend ein Argument warum massive Angstmache gut ist?

Ist diese "massive Angstmache" hier mit uns im Raum ? Ansonsten passiert aktuell erstmal nur awareness also information über die Lücke. Wenn du davon "Angst" bekommst ist das dein Problem.

 

[E1M1:Hangar]

Root-Zugriff reicht noch nichtmal aus dafür. Denn Root wären nur die höchsten Nutzerrechte und damit immer noch Ring 3. Zum Ausnutzen der Lücke braucht man aber Kernel-Rechte (Ring 0), also noch 1-3* Berechtigungslevel höher und wenn der Angreifer schon bis dahin gekommen ist, brennt die Hütte ohnehin schon gehörig. Ob er zusätzlich noch auf den SMM zugreifen kann oder nicht, ist dann auch fast egal.

* Je nachdem ob die Architektur und das OS noch Ring 1 & 2 haben, was meistens nicht der Fall ist.

Kann das mal bitte einer ganz oben anpinnen ODER an die News anhängen?!

Wieviele hier schon wieder ihren Hobby-Foto-Gaming-Gubbel-PC in der Notlage sehen, ist echt der Hammer. o_O

WENN jemand auf EURE eher unwichtigen Rechner zugreifen WILL, dann macht der das nicht über solche Wege. Das geht viel einfacher, vor allem bei dem was ihr, wir alle, auch ich (!) auf dem PC zu bieten haben.

 

[Ranayna]

"Ich glaube, das ist der komplexeste Fehler, den ich je ausgenutzt habe", erklärte einer der Forscher.

So, und jetzt nutzt jemand anderes die Details (Alleine das Wissen dass das ueberhaupt geht hilft enorm), baut den Exploit nach, und veroeffentlicht den Code.

Die Katze ist aus dem Sack. Wenn keiner weiss das die Katze drin ist, dann ist sowas kompliziert.

 

[blackiwid]

Wenn du davon "Angst" bekommst ist das dein Problem.

Nein das ist auch ein bekannter Trick aus der Werbung / Propaganda, man schreibt etwas so das der Recipent selbst das in ne bestimmte Richtung zu ende denkt, dann glaubt er es war ein originärer Gedanke von ihm und dann funktioniert die Werbung / Proganda besser wie wenn man ihm direkt sagt was er zu denken/kaufen hat.

Natürlich sind nicht alle in der Kette also der Journalist der von den Forschern oder was abschreiben mit (bewusst) Schuld daran aber man kann sich nicht dumm stellen und sagen, ohh wir haben nich 1 Sekunde Gedacht was welche Formulierung beim Recipent auslösen kann.

Dazu kommt die massenhafte Wiederholung auf allen Webseiten, auch das hilft Panik zu schüren ob das ne Hysterie ist die organisch ist oder gemacht ist ja auch egal im Zweifel wird es zumindest in Kauf genommen.

Ist ja auch ok, nur dann darf man doch auch gegen die im Menschen angelegte BIAS Gefahren zu hoch zu bewerten (weil früher der Tiger einen im Zweifel aufgefressen hat selbst wenn man sich 1000x falsch gefürchtet hat wenns im Busch raschelt), anreden... die Leute dürfen Panik machen und ich darf die daraus resultierende oft Hysterie nicht bei allen aber bei vielen mit meiner Einordnung bekämpfen oder ist das nicht erlaubt? Laut dir ist das irgendwie böse.

 

[ComputerJunge]

Wenn du mir recht gibst wieso ist es dann relativierung.

Gemäß dieses Artikels sind Fixes ja grundsätzlich möglich, nur halt nicht für Zen1000 bis 3000, weil AMD (wegen Kosten/Aufwand) nicht will. Konsequent die zugrundeliegende Logik des für Zen-Nutzer (praktisch nahezu vollkommen) auszuschließenden Risikos angewendet, sollte aus gleichen Sicherheitserwägungen allerdings für alle Zen-Linien keine Mitigation erforderlich sein. Und diese Unlogik stört mich.

Das ist aber auch schon alles (wie bei den "anderen").

 

[TaurusReloaded]

Solche Sicherheitslücken in Hardware hier bei CPUs gab es schon immer. Viele wurden/werden nie gefunden und die Wenigsten sind für Privatanwender wie in diesem Forum interessant. Hier kann kann man jetzt natürlich auch eine lange hypothetische "Was wäre Wenn" Diskussion führen oder es einfach gut sein lassen.
Jeder Privatanwender der ein Iphone, Android Gerät etc. nutzt mit den entsprechenden Dienste braucht sich hier eh keine Gedanken mehr machen.

Ergänzung (12. August 2024)

Die Katze ist aus dem Sack. Wenn keiner weiss das die Katze drin ist, dann ist sowas kompliziert.

"Die IOActive-Forscher wollen Sinkclose in Kürze auf der laufenden Hackerkonferenz Defcon 32 in Las Vegas vorstellen. Dem Wired-Bericht zufolge informierten sie AMD schon im Oktober 2023 über die Sicherheitslücke.

Dass das Forschungsteam damit erst jetzt an die Öffentlichkeit geht, liegt daran, dass IOActive dem CPU-Hersteller Zeit einräumen wollte, um an einem Fix zu arbeiten. Aus diesem Grund soll vorerst auch kein Proof-of-Concept-Code erscheinen."

 

[M-X]

Jeder Privatanwender der ein Iphone, Android Gerät etc. nutzt mit den entsprechenden Dienste braucht sich hier eh keine Gedanken mehr machen.

Kannst du den Bogen bitte schließen ? Ein Smartphone mit entsprechenden Diensten (welche genau) ist also so unsicher das man sich keine Gedanken um diese Lücke machen soll ?

 

[up.whatever]

Ich halte diese Lücke [Edit]im Heimumfeld[/Edit] für kritischer als Spectre oder Rowhammer.

Warum das? Für Spectre und Rowhammer muss nur Code mit minimalen Berechtigungen ausgeführt werden. Dafür genügt unter Umständen der Besuch einer Webseite mit Javascript. Das ist doch eine ganz andere Kategorie als Kernel Zugriff, wer Kernel Zugriff hat kann sich sowieso nach Belieben auf dem System austoben und den Speicher aller Prozesse auslesen und manipulieren.

 

[blackiwid]

Gemäß dieses Artikels sind Fixes ja grundsätzlich möglich

Aber das gibts oft nicht kostenlos dann hat man irgend ein Sicherheitsfix für etwas das 10 PCs auf der Wert am Ende infiziert werden wenn überhaupt aber man hat zu 100% sicher z.B. 1% weniger Speed und musst früher aufrüsten oder dein Spiel ruckelt plötzlich mehr.

Es ist für mich immer wieder spannend wie extrem man sich gegen solche Sachen schützt die vor Kriminellen aus gehen, aber gegen Geheimdienste und Firmen wie Nvidia und Co denen gibt man Rootrechte installiert proprietäre Treiber auch Microsoft, von denen installiert man ohne angst root kits... das kann ich daher nicht ernst nehmen. Oder die tollen firmwares in Smartphones, rootkits für Hersteller und Geheimdienste... entweder ich will vor allen Sicher sein oder ich leb damit das ich nicht sicher bin.

Klar Sicherheitslöcher die ohne Nachteile geschlossen werden sind gut, aber das müssen ja primär die Entwickler dann wissen warum sich ein Normalo dadrüber aufregen soll und in Panik versetzt werden soll, das macht nur Sinn wenn dringender Handlungsbedarf besteht, da dieser Bug aber sicher Mindestens Monate davon entfernt ist das ein Angreifer irgendwo diesen erfolgreich sinnvoll ausnutzen kann auf PCS die er eh schon komplett gehackt hat... seh ich keinen Sinn hinter Panik, wenn dein Rechner schon komplett gehackt ist soltest deshalb panik haben nicht wegen dem hier.

 

[Legalev]

Finde ich ehrlich gesagt überhaupt nicht okay, dass es bei einer so schweren Sicherheitslücke keine Updates mehr für alte Ryzen-Prozessoren gibt.
Wenn ich das richtig verstanden habe, kann ich damit mein System wegschmeißen, wenn ich mir mal was einfangen sollte. Klassische Wege wie Neuinstallation bringen dann ja nichts und ich habe keine Möglichkeit zu erkennen, ob ich betroffen bin oder nicht.

wenn du dir etwas eingefangen, ist es eh schon zu spät.

 

[Ranayna]

Warum das? Für Spectre und Rowhammer muss nur Code mit minimalen Berechtigungen ausgeführt werden.

Weil das ziemlich lange laufen muss um was zu finden. Und Speicherverwuerfelung im Browser dagegen sehr gut hilft. Natuerlich sofern die jeweiligen Betriebssysteme und Browser aktuell sind.

Bei Servern, insbesondere bei virtualisierten Servern, war das wesentlich kritischer, weil man da Code auch viel laenger laufen lassen konnte, und eine VM auch an Speicher von anderen VMs auf dem selben Host kommen konnte.

Du hast insofern Recht, dass SinkClose nicht ganz so einfach auszunutzen ist.
Ohne Userinteraktion geht es in aller Regel nicht (Bis zur naechsten Luecke im Betriebssystem), aber es gibt vieles was man vielleicht inzwischen komplett unbewusst bei der UAC abnickt.
Natuerlich kann man sich auch so dann was einfangen, aber dann war halt klar: "Nuke it from orbit", aka Windows neuinstallieren reicht.
Jetzt braucht man wohl eher eine Wasserstoffbombe dafuer um sicher zu gehen

 

[aid0nex]

Wie aus einem Security Bulletin von AMD hervorgeht, gibt es bereits Firmwareupdates für zahlreiche Epyc-, Athlon- und Ryzen-CPUs.

Ja, und für zahlreiche andere CPUs, die teilweise sehr jung sind, nicht! Und kommen laut aktuellem Stand auch nicht mehr. Was ich kritisiere.

 

[Morpheus101]

Wow, das ist wirklich hart!

Nö. Du brauchst Superuser-Zugriff auf die Hardware dafür. Wenn Du den hast, kannst Du sowieso alles machen.