News Sicherheitslücke: Sinkclose betrifft alle AMD-CPUs seit fast 20 Jahren

[lynx007]

Root-Zugriff reicht noch nichtmal aus dafür. Denn Root wären nur die höchsten Nutzerrechte und damit immer noch Ring 3. Zum Ausnutzen der Lücke braucht man aber Kernel-Rechte (Ring 0), also noch 1-3* Berechtigungslevel höher und wenn der Angreifer schon bis dahin gekommen ist, brennt die Hütte ohnehin schon gehörig. Ob er zusätzlich noch auf den SMM zugreifen kann oder nicht, ist dann auch fast egal.

* Je nachdem ob die Architektur und das OS noch Ring 1 & 2 haben, was meistens nicht der Fall ist.

Angeblich soll das aber durchaus eine Rolle spielen ... Klar brennt dann schon die Hütte. Aber du bekommst es dann auch nicht (mehr) mit, weil Code der auf Ring0 läuft nochmal viel schwieriger zu detektieren ist! Ist nochmal ein Unterschied, ob ich ein Schiff kapere, die Kontrolle darüber ausübe, oder selber im Netzwerk das Schiff bin! Ist nochmal ne Stufe "Geiler". Aus "Zauber von Oz" Wird "Gott von Oz"...

 

[Shoryuken94]

Wie bei den meisten dieser Lücken, für den Privatanwender ziemlich irrelevant, aber im Unternehmensumfeld kann so eine Lücke ziemlich eckelig werde. Ja man braucht zuvor zugriff auf das System, aber wenn man das einmal geschafft hat, kann man sich unter umständen für sehr lange Zeit in eine umgebung einnisten.

Diese Aussage, wenn du den Zugriff hast, kannst du eh schon alles machen unbd es ist daher egal, kann ich so nicht unterstützen. Oftmals sind solche Angriffe mit einem enormen Aufwand und zeitlichen Faktoren versehen. Der unterschied ist nun, dass eineinmalig infiziertes System ein dauerhaftes Einfallstor sein kann.

Das man Ryzen 1000, 2000 und 3000 nicht patchen wird, finde ich extrem schwach von AMD. Diese CPUs sind durchaus noch sehr viel im Einsatz

 

[Cerebral_Amoebe]

Das nur die neueren CPU ein BIOS-Update bekommen, hat schon ein Gschmäckle.
Die Ryzen 1000 werden zwar nächstes Jahr aufgrund fehlender Unterstützung durch Win11 verramscht werden, aber unter Linux durchaus noch brauchbar.

 

[choosman]

Manchmal habe ich das Gefühl solche Lücken gibt es absichtlich damit die Hersteller durch Fixes das System langsamer machen können um neue CPU zu verkaufen. Und jetzt muss ich meinen Aluhut bügeln gehen.

 

[mibbio]

@lynx007 Was du gepostet hat, geht doch nur auf die Unterschiede zwischen Kernel- und Root-Rechten ein und das Malware mit Kernel-Rechten schlimmer ist.

Soweit zwar richtig, der Unterschied hat aber nicht viel mit der aktuellen Lücke zu tun. Denn durch die Lücke bekommt der Angreifer ja gar nicht die Kernel-Rechte, sondern die muss er schon vorher auf anderem Wege erhalten haben, um die Lücke ausnutzen zu können. Bevor die CPU-Sicherheitslücke also zum Tragen kommt, hat der Angreifer Root-Rechte bereits weit hinter sich gelassen und kann schon frei im Kernel agieren.

 

[E1M1:Hangar]

Gerade mal nachgeschaut - nahezu jedes Game, dass einen Multiplayer oder ähnliches bietet, ist mit einem Anti Cheat Programm ausgestattet. Nahezu alle davon arbeiten mittlerweile auf Kernel-Level, was aber scheinbar die wenigstens juckt.

LOL, Valorant, BF, Elden Ring, CoD, ... einfach ALLES ist damit zugepflastert. Das juckt aber keine Sau und alle lassen sowas auf den PC.

Ist klar.

https://steamdb.info/tech/

Da runterscrollen und schauen, wieviele eurer Games sich Kernel-Zugriff ergaunern und ihr lasst es zu. DAS ist viel schlimmer als ein ewig schwerer Exploit, der euch zu 99,9% niemals im Leben auch nur ansatzweise selbst oder eurem Dunstkreis begegnen wird.

Oder siehe hier:

https://www.pcgamer.com/games/battl...ive-there-is-no-rce-vulnerability-within-eac/

Livehack via Kernel-Level-Anticheat ON STREAM!!!

Das ist eher ein Problem für die meisten Gaming-Enduser hier als der Exploit der News.

Viel Spaß beim zocken...

 

[ElDiablo]

Per Infizierter Hardware hacken sich eher Geheimdienste gegenseitig. Ich bin erstmal weniger besorgt, als bei einer Windows Lücke. Zudem werde ich wohl nie von einem Hack erfahren:-)

 

[ComputerJunge]

Es ist für mich immer wieder spannend wie extrem man sich gegen solche Sachen schützt die vor Kriminellen aus gehen, aber gegen Geheimdienste und Firmen wie Nvidia und Co denen gibt man Rootrechte installiert proprietäre Treiber auch Microsoft, von denen installiert man ohne angst root kits... das kann ich daher nicht ernst nehmen. Oder die tollen firmwares in Smartphones, rootkits für Hersteller und Geheimdienste... entweder ich will vor allen Sicher sein oder ich leb damit das ich nicht sicher bin.

Auf solche Aussagen bezog sich meine Relativierungsreferenz Jede Lücke weniger ist ein Angriffsvektor weniger - und bei dieser gerade für Geheimdienste. ^^

 

[Nuklon]

Hast du neue Erkenntnisse (wusste nicht dass Experten für die Lücke hier im Forum sind) oder eher hast du den Text nicht gelesen und weißt damit gar nicht das du quasi nix machen kannst wenn die Kiste befallen ist ?

Meine Argumentation war das der Schaden für Privatpersonen in der Infektion davor liegt, die einem Zugriff auf den gesamten Rechner gibt. Dort verlierst du deine Daten, dort gehen deine Passwörter verloren, werden deine Konten bei Amazon geplündert.
Das einnisten in den Kernel mit diesem Hack ist dann nur noch für Geheimdienste und ähnliche Personen relevant(von Geheimdienste verfolgte).
Die schmeißen nach einer Infektion eh alles weg(sollten sie zumindest)
Erpressungstrojaner verstecken sich nicht im Kernel. Deren Erpressungspotenzial ergibt sich daraus dass sie danach wieder freigegeben, sonst zahlt keiner mehr.
Daher: für Privatpersonen ist der Hack dann weniger relevant als der Schaden davor.

 

[HyperSnap]

Also mal ganz ehrlich. Die Nachricht kursiert seit ein paar Tage im Netz. Wenn es denn so schlimm wäre, warum kommt die Menschheit mit dem Problem seit 20 Jahren zurecht?

Weil es vorher nicht bekannt war. Eine Sicherheitslücke, die keiner kennt, ist effektiv keine Lücke.

Und das sind immernoch die besten Sicherheitslücken.
Und wenn die ausgenutzt wurde ist das Jahrelang nie jemanden aufgefallen.
Und hier schließ ich mal normal User aus die bringen in der regel wenig nutzen.

 

[0x8100]

Root-Zugriff reicht noch nichtmal aus dafür. Denn Root wären nur die höchsten Nutzerrechte und damit immer noch Ring 3. Zum Ausnutzen der Lücke braucht man aber Kernel-Rechte (Ring 0),

und root bzw. administrator darf kernel-treiber laden. dieser eine zwischenschritt ist da nur makulatur. und signierte kernel-treiber zu erstellen ist für einen angreifer auch keine allzu grosse hürde, die certs dafür kommen immer mal wieder abhanden. oder man nutzt fehler in bereits vorhandenen treibern aus, dafür gibt es ja auch genug beispiele.

 

[lynx007]

@lynx007 Was du gepostet hat, geht doch nur auf die Unterschiede zwischen Kernel- und Root-Rechten ein und das Malware mit Kernel-Rechten schlimmer ist.

Soweit zwar richtig, der Unterschied hat aber nicht viel mit der aktuellen Lücke zu tun. Denn durch die Lücke bekommt der Angreifer ja gar nicht die Kernel-Rechte, sondern die muss er schon vorher auf anderem Wege erhalten haben, um die Lücke ausnutzen zu können. Bevor die CPU-Sicherheitslücke also zum Tragen kommt, hat der Angreifer Root-Rechte bereits weit hinter sich gelassen und kann schon frei im Kernel agieren.

Ja weil manche hier behauptet haben Root=Kernel, und das stimmt halt nicht. Kernel hat nochmal eine krasse Tragweite, die vielen (auch mir Rookie) nicht so bewusst war. Wenn ich aus Versehen den falschen Zitiert habe, tut es mir leid.

Und Hacken bedeutet ja immer, dass ich privilugue Stufen zu erklimmen habe. Man fängt für gewähnlich als Anonymous und nicht nicht als Root an. Kernalhacken, das ist halt nochmal ein ganz "anderes" Haus, wo man als scriptkiddy wie ich nicht weit kommt. Sieht man auch am Score. Also panik schieben muss man nciht.

mein auf THM für Metasploit genutzter exploit hatt zb: Und da war ich nur root... und musst dafür "nur" scripte laufen lassen.... für Kernel rechte, das werden wohl die wenigsten machen können.

 

[TøxicGhøst]

Alle Zen Prozessoren sollten das Update erhalten.

 

[22428216]

Respekt AMD, da kauft man sich für 800€ eine CPU und diese bekommt kein Update.

 

[mae]

Ich habe es bisher so verstanden, dass ein Aufspielen eines sauberen BIOS / UEFI den Schadcode überschreibt.

Wenn es so einfach waere, wuerden die Leute, die die Luecke gefunden haben, nicht schreiben, dass man nur mit einem SPI-Flash-Programmer draufkommen bzw. es fixen kann. Ich gehe einmal davon aus, dass es Bereiche im Flash gibt, die werden vom normalen UEFI-Update nicht ueberschrieben, weil da z.B. das Flashback-Programm drinnensitzt. Und wenn sich der Angreifer da einnistet, hat man halt Pech. Bzw. kann auch die Schadsoftware dafuer sorgen, dass allfaellige Versuche, sie zu ueberschreiben, nicht funktionieren. Am Ende bleibt: Die Schadsoftware darf keine Kontrolle ueber das Geraet haben, das sie moeglicherweise ueberschreibt, also SPI-Flash-Programmer.

 

[computerbaser_]

Woher bekomme ich dann den Fix? Wird ja dann wahrscheinlich hier auf Computerbase berichtet werden?

 

[Euphoria]

Ich muss vielen hier widersprechen.
Die Lücke ist definitiv sehr kritisch, denn man kann damit ein befallenes System effektiv nicht mehr vom Angreifer befreien kann und vor Allem der Angreifer kann sich so einnisten, dass es gar nicht erkennbar ist. Damit wird Antivirensoftware usw. nutzlos.

Das ist praktisch trojanisches Pferd sein Vater.

Jetzt mal weiter gesponnen, damit könnte jemand Systeme vor Auslieferung abfangen, die infizieren und dann weiterleiten ohne, dass man das jemals mitkriegt. Alleine dieses Szenario ist schon mehr als erschreckend.

Ob ein Patch hier nachhaltig hilft muss sich erstmal zeigen.
Auch die Tatsache, dass hier nur Ryzen 5xxx, 7xxx und 9xxx gepatcht werden ist absolute Sauerei. Man kann Ryzen 3xxx noch neu kaufen, solange das der Fall ist muss ein Patch gestellt werden. Bei Ryzen 1xxx würde ich vielleicht sogar noch mitgehen.

 

[Helge01]

Jetzt mal weiter gesponnen, damit könnte jemand Systeme vor Auslieferung abfangen, die infizieren und dann weiterleiten ohne, dass man das jemals mitkriegt. Alleine dieses Szenario ist schon mehr als erschreckend.

Wenn ein Staat das bei der Herstellung/Lieferkette beauftragt, dann könnte dieser irgendwann darüber schlagartig alle AMD Server und Desktop PCs zerstören.

 

[GutenTag]

Einen so beliebten Prozessor wie den 3900 auszuschließen ist eine Bodenlose Frechheit:

ist es AMD technisch nicht möglich diese Lücke dort zu schliessen, oder sehen die dort einfach kein Interesse da diese CPU Generation nur noch sehr gering verwendet wird?

 

[DevPandi]

@GutenTag Möglich ist es, weil die Lücken auch für Zen 1 - Zen 4 geschlossen werden.