AMD Sinkclose: Sicherheitslücke betrifft Mio. von CPUs und wird nicht bei allen geschlossen
von André Westphal | 19 Kommentare
AMD hat seine neuen Ryzen 9000 vorgestellt.
Nachdem es bei Intel Ärger um einen Fehler gegeben hat, der durch zu hohe Spannungen die Core der 13. und 14. Generation dauerhaft beschädigen kann, vernimmt man nun auch Probleme um AMDs Prozessoren. So sind Millionen von Chips von einer Sicherheitslücke betroffen. Sicherheitsforscher haben den Exploit „Sinkclose“ getauft. Über die Schwachstelle könnten sich Angreifer Zugriff auf den „System Management Mode“ (SMM) sichern und so im Grunde schalten und walten, wie ihnen beliebt.
Pikant: Die Sicherheitslücke betrifft offenbar CPUs von AMD, die teilweise bereits vor zwei Jahrzehnten veröffentlicht worden sind. Einmal infiziert, wäre die Ausnutzung von Sinkclose kaum zu erkennen, denn Antivirensoftware würde nichts bemerken. Selbst das komplette Zurücksetzen des Systems würde keine Abhilfe schaffen. Die Sicherheitsforscher geben an, man müsste ein hardwarebasiertes Programmiertool einsetzen und direkt mit einem betroffenen Speicherchip verbinden, um die Malware zu entfernen. Das sei derart aufwändig, dass die meisten Anwender ihren Rechner dann besser entsorgen sollten.
Immerhin: Das Ausnutzen von Sinkclose alias CVE-2023-31315 ist alles andere als ein Kinderspiel. Denn um überhaupt einen erfolgreichen Angriff auszuführen, benötigen Dritte bereits Kernelzugriff (Ring O). Somit muss das jeweilige System ohnehin schon kompromittiert worden sein. Über Sinkclose ließe sich also in erster Linie bei einem bereits erfolgreich angegriffenen System dauerhaft der unentdeckte Zugriff absichern.
Sinkclose könnte staatlichen Hackern in die Hände spielen
Interessant ist Sinkclose deswegen wohl primär interessant für Hacker, die viele Ressourcen zur Verfügung haben und im Auftrag von Regierungen agieren. Sie nutzen häufig Techniken aus, um auf Kernel Zugriff zu erhalten und gewinnen so einen Weg, einmal gewonnene Zugänge abzusichern. Entdeckt worden ist Sinkclose dabei von den Forschern von IOActive. Sie habe AMD bereits im Oktober 2023 über das Problem informiert.
Öffentlich äußern sich die Forscher erst jetzt zu der Misere, da man AMD ausreichend Zeit einräumen wollte, an einem Fix zu arbeiten. Daher gibt es auch kein öffentliches Proof-of-Concept. Im Stillen hat AMD schon Firmware-Updates für viele Prozessoren der Reihen Epyc, Athlon und Ryzen veröffentlicht. Einige Embedded-Modelle will man im Oktober 2024 versorgen. Gleichzeitig hat AMD bedauerlicherweise angesagt (via Toms Hardware), dass ältere CPUs dauerhaft von Sinkclose betroffen sein werden.
So sind teilweise Chips aus z. B. dem Jahr 2006 betroffen. Weil sie längst aus der Support-Dauer herausgefallen und kaum noch im Gebrauch sind, will AMD für jene keine Updates mehr liefern.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Hmmmm. Komisch dass jetzt, wo Intel einen massiven Imageschaden durch das Microcodeproblem erlitten hat, plötzlich sowas auftaucht was nur alte AMD CPUs betritt und eigentlich keine Relevanz hat. Klingt nach Verzweiflungsmeldung.
Eigentlich keine Relevanz halte ich für ne schwierige Aussage… Exploits die einem Rechte auf Kernelebene geben gibt es ständig und reichlich und darüber kann man sich in diesem Fall dauerhaft einnisten. Und Ryzen 3000 CPUs, bei welchen das Problem nicht behoben wird, sind 2019 auf den Markt gekommen, 5 Jahre ist als Lebensdauer für nen PC tatsächlich nicht wenig. Für jemanden, der seinen PC nur als Büromaschine nutzt kann so ein PC gut und gerne auch 10+ Jahre genutzt werden solange er ein aktuelles OS hat spricht da auch normalerweise nichts gegen.
Hier in der Pressemitteilung wird einmal von Prozessoren von vor 2 Jahrzehnten und einmalmvon CPUs aus 2006 gesprochen. Also keine Relevanz. Wo steht denn dass es auch Ryzen aus 2019 betrifft?
Zitat von Golem: „Für einen erfolgreichen Angriff benötigen Angreifer bereits Kernelzugriff“
Zitat eines Forschers der die Sicherheitslücke entdeckt hat: „Ich glaube das ist der komplexeste Fehler, den ich jeh ausgenutzt habe“
https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7014.html
Alles ab Ryzen 3000 (vorgestellt zwischen Juli 2019 und Juli 2020) und älter geht leer aus.
Okay, das ist natürlich dann schon ne andere Situation. Das es auch so aktuelle Prozessoren betrifft war hier nicht raus zu lesen. Besteht den aufgrund so extrem komplizierter und aufwendiger Masnahmen für Privatnutzer überhaupt eine Gefahr?
Man muss eben auch gewichten welche Art von Sicherheitsproblem vorliegt. Hier sind Kernelrechte notwendig und das geht weit über die Rechte von Systemadministratoren hinaus. Das Virenscanner da keinen Schutz mehr bieten können ist hier nur noch Nebensache. Die praktische Anwendbarkeit erfordert eine Verkettung von mehreren kritischen Sicherheitslücken die theoretisch existieren müssten. Großflächige Angriffe sind hier nicht einmal ansatzweise zu erwarten. Gezielte Angriffe erfordern ebenso unverhältnismäßig viel Aufwand.
Intels ständige Probleme bei der Management Engine oder den CPUs selbst sind alles andere als ohne und über die Sicherheitslücken hinaus haben wir noch immer das Problem mit sich selbst zerstörenden Desktop-CPUs bei gleich 2 sehr neuen Generationen. Damit nicht genug fügt sich Intel selber außergewöhnlich viel Image-Schaden zu, weil nicht nur keinen Rückruf gibt, sondern einfach fleißig weiter verkauft wird, als wäre nichts gewesen.
Nein, mMn keine Verschwörung, der Bug ist >1y bekannt und wurde letzten Herbst AMD mitgeteilt*.
Und wann sonst, wenn nicht auf einer ‚Hackerkonferenz‘ wäre denn ein günstiger Zeitpunkt sowas zu veröffentlichen?
Quelle: https://www.wired.com/story/amd-chip-sinkclose-flaw/
“ Betroffen davon sind mindestens alle AMD-Prozessoren der letzten 10 Jahre (bis Ryzen 7000). Die Schwachstelle betrifft hunderte Millionen von AMD-Chips, die ohne tiefgreifende Veränderungen auf Firmware-Ebene offenbar unsicher sind und Einfallstore für Malware bieten.“ https://www.heise.de/news/CPU-Sicherheitsluecke-in-AMD-Prozessoren-ermoeglicht-Malware-Infektionen-9831278.html
“ältere CPUs” – damit sind quasi alle CPUs vor Mitte 2020 gemeint. Viele davon (Ryzen 2000/3000) werden noch heute verkauft (vor allem auf dem Gebrauchtwarenmarkt). Das AMD CPUs welche erst vor vier Jahren vorgestellt wurden und noch deutlich länger als Neuware verkauft wurden, keinen Fix erhalten, ist in meinen Augen ein absoluter Skandal und sollte an den Pranger gestellt werden. Die bisherigen Artikel zu dem Thema (leider auch der hier) lesen sich eher wie eine Pressemitteilung von AMD. Bei so einer hochgradigen Sicherheitslücke muss man hier schon fast Absicht unterstellen um den Absatz neuer Hardware anzukurbeln. Traurig, dass hier erst wieder irgendein Regulator kommen muss, der Sicherheitsupdates für x Jahre festschreibt, bevor etwas passiert.
Bleib mal auf dem Teppich. Wenn ein Angreifer Kernelrechte erhält, ist ihm dein Rechner bereits vollständig ausgeliefert und er kann bereits alle Virenscanner umgehen und sogar Hardware zerstören. Jede weitere Sicherheitslücke ist da nur noch eine Kirsche oben drauf.
Die einzigen die realistisch davon betroffen sein könnten wären Epyc-Kunden und das auch nur rein theoretisch über gezielte und äußerst komplexe Angriffsketten.
Das meine ich.
Bei einigen aktuellen Games läuft die Anti-Cheat Software auf Kernel Ebene.
Das neue Delta Force zb kommt von einem Chinesischen Entwickler und hat volle Systemrechte.
Eventuell reicht das schon, um die Lücke auszunutzen.
Nur weil man erst die Tür zum Juwelierladen knacken muss, kann sich der Juwelier den Tresor sparen?
Das Problem bei einer derartigen Lücke wird sein, dass diese nicht kurzzeitig zerstörerisch genutzt werden wird, sondern auf längere Sicht. Man bricht also per Kernelattacke ein und verschafft sich dann Zugriff über die CPU-Lücke ohne das der Nutzer etwas merkt. Die Kernellücke kann dann schön wieder geschlossen werden. Dennoch hat der Angreifer auf unendliche Zeit die volle Kontrolle und kann so bspw. Mitarbeiter (im Homeoffice) ausspähen etc.
Wie schon im Artikel geschrieben geht es hier nicht um irgendwelche Script-Kiddies, sondern um Regierungen die dies bspw. zur Wirtschaftsspionage etc. in großen Umfang ausnutzen können. Daher ist es eine Sauerei für Produkte, die keine 5 Jahre alt sind bei einer derart großen Sicherheitslücke keine Patches bereitstellen zu wollen.
Zerstörte Hardware ist weit einfacher feststell- und entfernbar, als ein ‚Superrootkit‘, das selbst ein Neuflashen des UEFI überlebt.
Falls man mitbekommt, dass ein System infiziert ist, kann man es eigentlich nur noch entsorgen oder einem Feind verkaufen.
Mit einer gravierenden Lücke wie dieser in der Hinterhand, ist der Ertrag eine andere – kurzfristig bestehende – Lücke auszunutzen erheblich höher. Erstes lässt sich dadurch Schadsoftware entwickeln welche schwerer entdeckt werden kann und zweitens kann die Schadsoftware nicht mehr entfernt werden. In Kombination eröffnet dies z.B. im Phishing Bereich selten dagewesene Möglichkeiten.
Gut, die Pressemitteilung soweit, aber wie spiele ich das Update ein und wo finde ich es und läuft es wieder nur mit Windows?
Genau darauf hätte ich auch gehofft!
Gibt’s irgendwo ne Liste aller betroffenen Generationen / Baureihen? Ich bin stark im Retro Sektor unterwegs und betreibe zB noch ein Sockel 939 System. Von daher würde ich das gerne wissen.