CPU-Sicherheitslücke in AMD-Prozessoren ermöglicht Malware-Infektionen
Sicherheitsforscher haben eine als Sinkclose bezeichnete Sicherheitslücke in AMD-CPUs entdeckt und auf der Defcon 32 in Las Vegas präsentiert.
Nahezu alle Ryzen- und Epyc-CPUs von AMD sind von "Sinkclose" betroffen.
(Bild: Mark Mantel / heise online)
Die beiden IT-Security-Experten Enrique Nissim und Krzysztof Okupski haben am Samstag auf der Defcon 2024 in Las Vegas eine gravierende Sicherheitslücke in AMD-Prozessoren beschrieben und präsentiert. Betroffen davon sind mindestens alle AMD-Prozessoren der letzten 10 Jahre (bis Ryzen 7000). Die Schwachstelle betrifft hunderte Millionen von AMD-Chips, die ohne tiefgreifende Veränderungen auf Firmware-Ebene offenbar unsicher sind und Einfallstore für Malware bieten.
Malware taucht normalerweise nicht in der Firmware eines Herstellers auf, sondern aktiviert sich schlimmstenfalls im Rahmen des Bootvorgangs nach dem Firmware-Start. In diesem Fall betrifft die Sicherheitslücke direkt die Prozessorebene von PCs oder Servern und liegt vor nachfolgenden Systemebenen. Angreifer sollen durch die Lücke in der Lage sein, Software im sogenannten System Management Mode (SMM) auszuführen. Dieser Modus verfügt über besondere Systemrechte und erlaubt eingeschleuster Malware, sich vor dem Betriebssystem und anderen Anwendungen zu verbergen.
Die beiden bei IOActive tätigen Sicherheitsforscher haben diese auch als Sinkclose bezeichnete Sicherheitslücke schon vor Jahren aufgedeckt. Herkömmliche Methoden zur Malware-Abwehr können diese Schwachstelle nicht beheben. Eine solche Malware-Infektion ist nur schwer zu erkennen und lediglich mit erheblichem Aufwand zu entfernen. Selbst eine Neuinstallation des Betriebssystems reicht dafür nicht aus. Nur über ein Firmware-Update auf Hardwareebene ist es möglich, diese Sicherheitslücke zu schließen.
AMD arbeitet an Fehlerbereinigung
Nissim und Krzysztof Okupski gingen einige Tage vor der Hackerkonferenz Defcon 32 in Las Vegas an die Öffentlichkeit, um das Sicherheitsproblem zu verdeutlichen und die detaillierte Beschreibung der Sicherheitsprobleme im Rahmen des Defcon-Vortrags anzukündigen. Die beiden Experten erklärten gegenüber Wired, dass AMD schon im Oktober 2023 von ihnen über die Sicherheitslücke informiert wurde. Die lange Wartezeit von der Entdeckung des Bugs bis hin zur Veröffentlichung erklärten die beiden damit, dass man AMD Zeit einräumen wollte, um an einem Fix zu arbeiten.
In den Reaktionen auf diese Mitteilung betont AMD beschwichtigend, dass es sehr schwierig ist, diese Sicherheitslücke auszunutzen. Angreifer müssen dazu Zugang zu den betreffenden PCs oder Servern besitzen, um die Hardware zu manipulieren und Kernel-Zugriff zu erlangen. AMD vergleicht die Sinkclose-Technik mit einer Methode, um auf die Schließfächer einer gesicherten Bank zuzugreifen. Doch diese Hürde spielt keine Rolle, wenn die Hardware zu einem frühen Zeitpunkt, beispielsweise über ausliefernde Scheinfirmen, manipuliert wird. Tatsächlich wurden in ähnlichen Fällen die betroffenen Rechner vor der Erstnutzung im Vorfeld kompromittiert.
AMD hat trotz der seiner undramatischen Einordnung dieser Schwachstelle inzwischen reagiert. Das Security-Bulletin CVE-2023-31315 zeigt, dass Firmwareupdates für viele Epyc-, Athlon- und Ryzen-CPUs geplant sind, aber nicht für alle: Die Serie Ryzen 3000 beispielsweise soll laut AMDs derzeitiger Liste keine Updates erhalten. Für weitere Prozessoren sind Patches für den Oktober 2024 angekündigt, bei einigen nennt AMD schon die Versionsnummern bereinigter Firmware-Versionen. Diese müssen aber von den Geräteherstellern noch in ihre Pakete wie BIOS-Updates eingepflegt werden und bei den Kunden ankommen.
Ein Beitrag von Bleeping Computer nennt mehrere Beispiele ähnlich gelagerter Cyberattacken, bei denen Angreifer sich Zugang zur Hardware verschafften. Sie nutzten dafür unter anderem Sicherheitslücken in Anti-Cheat-Tools, Grafiktreibern, Treibern von Sicherheitstools sowie zahlreichen anderen Treibern auf Kernelebene.
(usz)
