Sicherheitslücke: Sinkclose betrifft alle AMD-CPUs seit fast 20 Jahren
Am Samstag wurde eine schwerwiegende Sicherheitslücke in AMDs CPUs bekannt, die in allen CPUs seit mindestens 2006 vorhanden sein soll. Sinkclose wird unter der CVE-2023-31315 geführt. Eine Lösung ist in Arbeit, allerdings erhalten nicht alle CPUs ein entsprechendes Update.
Schwerwiegend, aber …
Bevor es um die eigentliche Sicherheitslücke geht, muss klargestellt werden, dass zum Ausnutzen dieser Sicherheitslücke ein vorheriger erfolgreicher Angriff auf das Betriebssystem und dessen Kernel stattgefunden haben muss. Angreifer müssen sich Berechtigungen für den Ring 0 verschaffen.
Wenn infiziert, dann richtig
Die Besonderheit hinter Sinkclose ist es, dass sich Schadsoftware besonders nachhaltig im System einnisten kann und weitgehend unsichtbar für gängige Schutzmethoden der Betriebssysteme sowie Antivirensoftware ist. Je nach Schadsoftware haben Angreifer mitunter einen Vollzugriff auf das Zielsystem. Übliche Wege, wie die vollständige Neuinstallation des Systems, helfen hier nicht, da die Schadsoftware im System Management Mode ausgeführt wird und damit im Ring -2 und unterhalb des Ring 0.
Eine Infektion durch eine entsprechende Schadsoftware kann nur erkannt werden, wenn man über entsprechende Erfahrungen und Werkzeuge wie SPI Flash Programmer verfügt. Selbst dann ist jedoch große Sorgfalt notwendig und im Endeffekt sei es einfacher den Computer auszusondern, wie die Forscher gegenüber Wired erklären.
Die Sicherheitsforscher geben zu verstehen, dass der Angriff mittels Sinkclose sehr komplex ist und AMD betont, dass bereits umfangreicher Zugriff notwendig ist. Gleichzeitig sind entsprechende Sicherheitslücken nicht ungewöhnlich. Jede Software, die sich umfangreiche Rechte im Betriebssystem sichert und nicht im User-Mode läuf, können hier als Einfallstor dienen.
Fixes in Arbeit, allerdings nicht für alle CPUs
AMD hat eine entsprechende Informationsseite für den CVE-2023-31315 veröffentlicht und führt Sinkclose unter der ID AMD-SB-7014. Updates sind für alle Epyc-Generationen von Zen 1 bis Zen 4 angekündigt – entsprechend betroffen von der Sicherheitslücke ist auch AMD Instinct MI300A. Bei den Desktop-Prozessoren werden die Updates nur für Zen 3 und neuer ausgespielt, so wird es nach aktuellem Stand keine Updates für Ryzen 1000, Ryzen 2000 und Ryzen 3000 geben. Bei Notebook-CPUs wird Ryzen 3000 allerdings noch mit einem Fix bedacht.
Auf Nachfrage der Redaktion bei AMD, warum nur Ryzen 1000, 2000 und 3000 kein Update mehr bekommen, hat die Redaktion eine generische Antwort von AMD bekommen, in der darauf verwiesen wird, dass es in der schnelllebigen Techbranche üblich ist, dass der Softwaresupport für ältere Produkte eingestellt wird.
Ending software support for older products is standard practice in the fast-moving tech industry, AMD is not unique in this regard. While the issue only affects seriously breached systems, AMD prioritizes security. We believe our mitigation's available today are an appropriate response to the threat.
AMD
AMD äußerte Techpowerup gegenüber, dass Sinkclose auch bei Ryzen 3000 Modellen auf der AM4-Plattform behoben wird. AMD hat die entsprechende Seite aktualisiert und terminiert den 20.08.2024 für das Update.
Die Redaktion bedankt sich bei coxon für den Hinweis.
Die Redaktion bedankt sich bei 1lluminate23, der das Thema im Forum gepostet hat.