News AMD EntrySign: Forscher entdecken neuen CPU-Exploit

[PCGH-Redaktion]

Google-Forscher haben einen neuen Exploit bei AMDs Zen-Prozessoren entdeckt. Die Sicherheitslücke "EntrySign" erlaubt es, Mikrocodes an die CPU zu senden.

Was sagt die PCGH-X-Community zu AMD EntrySign: Forscher entdecken neuen CPU-Exploit

Bitte beachten: Thema dieses Kommentar-Threads ist der Inhalt der Meldung. Kritik und allgemeine Fragen zu Online-Artikeln von PC Games Hardware werden hier gemäß der Forenregeln ohne Nachfrage entfernt, sie sind im Feedback-Thread besser aufgehoben.

 

[Registrierzwang]

Das eröffnet nicht nur die Möglichkeit von schlechten Dingen sondern vielleicht könnte man so auch sinnvolle neue CPU Opcodes hochladen...

P.S.: Wie so oft, das wird nicht so einfach von "aussen" gehen und sicherlich entsprechende Rechte zur Ausführung benötigen.

 

[Dragonskull]

P.S.: Wie so oft, das wird nicht so einfach von "aussen" gehen und sicherlich entsprechende Rechte zur Ausführung benötigen.

Es steht sogar im Text, dass der Anwender lokale Administrator Rechte benötigt. Außerdem bleiben die Änderungen wohl nur bis zum nächsten Neustart bestehen.
Das ist zwar immer noch gefährlich, ein potentieller Angreifer muss aber immer noch erst Administrator Rechte erhalten.

 

[Uwebks]

Da fällt mir nur folgendes dazu ein: wann kommt das entsprechende Update zum schließen der Lücke?

 

[Waupee]

Juhu jetzt kann man seine eigene CPU Toasten durch diese Schwachstelle

 

[Captayne]

Warum veröffentlichen diese Chaoten jedesmal, wie man etwas hackt, anstatt mit den Herstellern im Stillen die Lücken zu schließen??
Stellt Euch vor ich weiss, wie man Nachbars Tür knackt und poste es öffentlich.
Wie bekloppt soll es eigentlich noch werden?
Als wenn wir nicht schon genug Ärger mit Viren und Ramsomware hätten.

 

[|L1n3]

Warum veröffentlichen diese Chaoten jedesmal, wie man etwas hackt, anstatt mit den Herstellern im Stillen die Lücken zu schließen??
Stellt Euch vor ich weiss, wie man Nachbars Tür knackt und poste es öffentlich.
Wie bekloppt soll es eigentlich noch werden?
Als wenn wir nicht schon genug Ärger mit Viren und Ramsomware hätten.

Wurde mit dem Hersteller besprochen, bereits gepatched und ein Disclosure vereinbart. Also eine zeitlich begrenzte Geheimhaltung, die jetzt eben abgelaufen ist. Darum geht man jetzt damit öffentlich. Das ist die völlig normale und korrekte Vorgehensweise.

https://www.amd.com/en/resources/product-security/bulletin/amd-sb-3019.html

 

[Homerclon]

Es steht sogar im Text, dass der Anwender lokale Administrator Rechte benötigt. Außerdem bleiben die Änderungen wohl nur bis zum nächsten Neustart bestehen.
Das ist zwar immer noch gefährlich, ein potentieller Angreifer muss aber immer noch erst Administrator Rechte erhalten.

Ist bei vielen allerdings einfacher als es sein sollte, und das nur deshalb weil die Leute nicht hinterfragen wenn Windows eine Bestätigung haben will, weil irgendwas Adminrechte anfordert.

Da fällt mir nur folgendes dazu ein: wann kommt das entsprechende Update zum schließen der Lücke?

Liegt inzwischen bei den Mainboard-Hersteller.
Seitens AMD ist das nötige AGESA-Update bereits bereitgestellt. Für die meisten Systeme jedenfalls.
Seit Dezember werden nach und nach die neuen AGESA-Versionen mit Fix bereitgestellt, noch in diesem Monat soll auch für die letzten (Embedded R1000, R2000 & V1000) ein Update verfügbar sein.

https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7033.html

 

[TausendWatt]

Benötigt wird ein lokales Adminkonto, d.h. Warum sollte ich dann noch die CPU "jailbraken" wenn ich mir schon Zugriff verschaffen konnte und mit lokalen Adminrechten unterwegs bin. Iwie eine Schwachstelle die man recht weit unten ansiedeln kann, wenn es um die Gefahreneinschätzung, die davon ausgeht, geht... Da sollte man mehr Zeit in die Sicherheit des eigenen Netzes investieren.

 

[Gast1754557804]

Warum veröffentlichen diese Chaoten jedesmal, wie man etwas hackt, anstatt mit den Herstellern im Stillen die Lücken zu schließen??

Weil Hersteller, wenn es im Stillen kommuniziert wurde, oft untätig blieben. Wenn es öffentlich gemacht wird, baut das Druck auf und die Hersteller reagieren.

 

[G4mest3r]

Warum veröffentlichen diese Chaoten jedesmal, wie man etwas hackt, anstatt mit den Herstellern im Stillen die Lücken zu schließen??
Stellt Euch vor ich weiss, wie man Nachbars Tür knackt und poste es öffentlich.
Wie bekloppt soll es eigentlich noch werden?
Als wenn wir nicht schon genug Ärger mit Viren und Ramsomware hätten.

Warum schmähst Du jemand anderes einfach negativ als Chaot, davon ausgehend, dass er sich "selbstverständlich" nicht korrekt verhalten hätte?
Gehst wie selbstverständlich davon aus, dass er nicht mit den Herstellern kommuniziert haben sollte und einfach, ohne Rücksicht auf die Konsequenzen, Schwachstellen in die Welt hinausposaunen würden?

Keine Ahnung über die Hintergründe, Sachverhalte und Hergang, aber schön eine auf Basis falscher Vorstellungen vorurteilbehaftete Meinung in die Welt hinausposaunen und jemand anderes fehlerhaften Verhaltens bezichtigen - da sieht man, wie bekloppt es schon geworden ist.

Stellt Euch vor, mich interessiert, wie eine verbreitete Tür eines Herstellers funktioniert und welche Sicherheitsmechanismen und etwaigen Schwachstellen diese haben könnte - womöglich allein schon deshalb, weil ich selber auch diese Tür oft einsetze.
Ich kaufe mir so eine Tür und untersuche sie, teste sie, nehme sie auseinander, etc.
Dabei erlange ich einige Erkenntnisse, die evtl. auch für andere Kunden und hoffentlich auch für den Hersteller dieser Tür interessant sein könnten.
Ich trete mit dem Hersteller der Tür in Kontakt und informiere ihn über meine Entdeckungen. Darauf findet ein regelmäßiger Austausch und Kommunikation über die Erkenntnisse, Testreihen und mögliche Gegenmaßnahmen statt, so ich solche auch schon dazu hätte.
Man einigt sich über ein Vorgehen und eine Veröffentlichung der Befunde nach einer gewissen Zeit.
Die interessierten Käufer (darunter evtl. auch mein Nachbar) können sich nun informieren und adäquat für sich potentiellen Handlungsbedarf abwägen.

... und dann kommt jemand von der Seite, der den ganzen Vorgang nicht mitbekommen hat und bezichtigt mich eines Fehlverhaltens und dass ich doch meinen armen Nachbarn jetzt in eine doofe Situation gebracht hätte, beschimpft mich als Chaoten und wirft mir Dinge vor, die ich so gar nicht gemacht habe. Wir hätten doch schon genügend Ärger mit Einbrechern.

Erst informieren, dann nachdenken, dann entscheiden.

 

[PCGH_Torsten]

Ist bei vielen allerdings einfacher als es sein sollte, und das nur deshalb weil die Leute nicht hinterfragen wenn Windows eine Bestätigung haben will, weil irgendwas Adminrechte anfordert.

Wie von @TausendWatt angemerkt: Bei Zielpersonen, die einem so einfach Adminrechte gewähren, braucht man die Lücke nicht. Aber für (AMD-)Cloud-Umgebungen könnte sie die bislang schwerste überhaupt sein. Ich sehe keine Dokumentation, wie die Interaktion zwischen x86-Microcode und der Ansteuerung von TPM sowie anderen integrierten Security-Funktionen läuft. Aber wenn AMD keinen Weg findet, auf diese Zuzugreifen und eine AGESA-Prüfung durchzuführen, ohne x86 zu nutzen (und das stelle ich mir auf einer x86-CPU wirklich schwer vor), dann haben sich soeben vier komplette Epyc-Generationen aus dem Markt für gesicherte Cloud-Umgebungen verabschiedet.

Für den gesamten Finanzsektor, ggf. auch für Versicherungen und sicherlich bei sämtlichen Entwicklungsabteilungen mit Sorge um Industriespionage sind die Administratoren angemieteter Cloud-Software potenzielle Angreifer. Die brauchen abgesicherte Ausführungsumgebungen, um auf angemieteter Hardware zu arbeiten. Schon die bisherigen Sicherheitslücken ab Spectre waren in der Hinsicht brisant, weil sie die externe Ausnutzung von Schwachstellen innerhalb dieser Ausführungsumgebungen erlaubten. Aber nur punktuell, in geringem Umfang und unter Ausnutzung von Schwachstellen in der Ziel-Software, die es erst geben musste und die man dann auch noch finden musste – von außen. Aber mit dieser Lücke hier könnte ein Server-Betreiber schlichtweg die Existenz einer sicheren Umgebung vortäuschen (inklusive eines vermeintlichen gepatchten AGESAs?.), während er weiterhin alles im Klartext protokolliert oder gar in Echtzeit manipuliert.

 

[latiose88]

Ja das sind eher Kriminelle die an Geld durch Daten und so weiter machen wollen interessiert.DIe kleinen User wie die Privatuser sind nicht ganz so interessant.Da gibt es weniger zu holen für die Kriminellen.Hart es es also für die großen.Da steigt das interesse für die Kriminellen.Die werden also lieber solch Angreifen.Interesse an Videos oder was wir so machen,ist langweilig.
Wobei auch nicht zu 100% sicher sein kann.Lücke hat ja hoffentlich AMD geschlossen.