Insgesamt 12 Lecks für Ryzen und Epyc beschrieben – Gefahrenpotenzial und Seriosität der Entdecker stehen allerdings in Zweifel
Die Entdeckung der unter den Namen "Spectre" und "Meltdown" zusammengefassten Sicherheitslücken bei zahlreichen Computer-Prozessoren hat die IT-Welt Ende des letzten Jahres lange in Atem gehalten. Und erst langsam gibt es Updates für die meisten betroffenen Systeme, die allerdings Performance-Einbußen verursachen.
Während Intel-Chips von sämtlichen Lücken betroffen waren, ist Konkurrent AMD relativ gut ausgestiegen – denn dessen Chips waren nur von Teilen der "Spectre"-Bugs betroffen.
Lecks sollen Zugang zu "Secure Processor" erlauben
Nun allerdings schlägt ein Unternehmen namens CTS Labs Alarm. Gleich 12 Sicherheitslücken sollen alle aktuellen Prozessorreihen betreffen. Doch die tatsächliche Gefährdungslage und die Seriosität der Entdecker werden kontrovers diskutiert.
Behauptet wird unter anderem, dass Angreifer in den "Secure Processor" der Prozessoren des Typs Ryzen Mobile, Ryzen, Ryzen Pro und Epyc eindringen könnten. Dadurch sei es unter anderem möglich, auf tiefer Ebene Malware zu deponieren. Die Attacke sei aus der Ferne möglich, ein direkter, physischer Zugang zum Rechner also keine Voraussetzung.
Seltsame Vorgänge
Schon im Vorfeld der Veröffentlichung, für die eine eigene Website namens "AMD Flaws" eingerichtet wurde, spielten sich seltsame Dinge ab. Die Website wurde erst sehr kurzfristig und anonym registriert. Und AMD wurde nach eigenen Angaben nicht vorab informiert. CTS wiederum erklärt, den Report einen Tag vor Veröffentlichung übermittelt zu haben.
Gängige Praxis bei der Publikation von Sicherheitslecks im Sinne einer "verantwortungsvollen Veröffentlichung" ist es, den Hersteller der betroffenen Soft- oder Hardware in Kenntnis zu setzen und eine angemessene Frist für Reaktion und Beseitigung des Problems zu setzen. Das ist hier allem Anschein nach nicht passiert. Auch gibt es nicht all zu viele "digitale Spuren" im Netz über die Betreiber von CTS Labs.
Dubiose Firma veröffentlichte "Nachruf" auf AMD
Hinzu kommt, dass ein Unternehmen namens Viceroy Research fast gleichzeitig mit dem Auftauchen der Webseite einen auf den Lücken basierenden "Nachruf" auf AMD veröffentlichte. Die Firma hat, so dokumentiert Golem, vor etwa einer Woche auch schon den Tod des deutschen Privatsenders Prosieben aufgrund der anstehenden Datenschutzgrundverordnung prophezeit und vom Kauf der Aktien des Unternehmens abgeraten.
Es folgte eine Verwarnung durch die deutsche Finanzaufsicht, da Viceroy gar nicht berechtigt sei, derlei Empfehlungen abzugeben. Beobachter vermuten, dass die Firma den Kurs manipulieren wollte, um sich mit dem kurzfristigen Ein- und Verkauf von Aktien zu bereichern.
Auch gibt es Kritik am Whitepaper selbst und Zweifel an der tatsächlichen Gefahr, die durch die Lecks droht. Tavis Ormandy von Googles Project Zero erklärt dazu, dass die Lücken eigentlich bedeutungslos seien, da das Spiel ohnehin schon aus sei, wenn der Angreifer dazu komme, sie auszunutzen – denn dafür sind Adminrechte Voraussetzung, was eine vorhergehende Kompromittierung voraussetzt.
Nothing in this paper matters until the attacker has already won so hard it's game over. Not something I'm too interested in, but maybe DFIR people are?
— Tavis Ormandy (@taviso) March 13, 2018
Nicht auf die leichte Schulter nehmen
Dennoch warnt Ars Technica davor, die Fehlerberichte vorzeitig abzutun. Mit Dan Guido, David Kanter und Gadi Evron zitiert man gleich drei Fachleute, die nicht nur die Existenz der Lecks bestätigen. Die Schwachstellen seien auch relevant, obwohl ein Angreifer für ihre Ausnutzung bereits über Adminrechte verfügen muss.
Denn: Ist dieser erste Schritt erfolgreich vollzogen, kann Malware direkt im Secure Processor deponiert werden, was gefährliche Vorteile zu konventioneller Schadsoftware mitbringt. Die Inhalte des abgesicherten Speichers werden noch vor dem Betriebssystem geladen. Nutzer könnten auf diesem Weg umfangreich ausgespäht werden, da die Schadsoftware mit gängigen Tools wie Virenscannern nicht zu entdecken wäre und auch Sicherheitssysteme wie der "Credentials Guard" von Windows 10 umgangen werden könnten.
Asked why vuln matters if they need admin privileges, Their answer: 1. Bypass credentials guard (Windows). 2. Hide in PSP (AMD secure processor, become insanely persistent). 3. load before CPU (prevent any BIOS update, whatever, and potentially brick the motherboard, etc.). [1/2]
— Gadi Evron (@gadievron) March 13, 2018
Zudem wäre es für Betroffene unmöglich, sich des Schadcodes zu entledigen. Weder eine Neuinstallation des Betriebssystems, noch eine Formatierung der Festplatte oder das Überschreiben des BIOS würde helfen.
AMD will Report prüfen
Dennoch, so schreibt Ars Technica, besteht kein unmittelbarer Grund zur Panik. AMD-Nutzer sollten die Situation aber weiter verfolgen. Der Chiphersteller selber zeigt sich erstaunt über die Art und Weise der Bekanntgabe der Fehler und erklärt, den Report schleunigst auswerten zu wollen.
Denn es bleiben nach wie vor Dinge zu klären. So soll eine der beschriebenen Lücken, sie wurde "Chimera" getauft und betrifft eine zugelieferte Komponente, laut CTS unbehebbar sein. Für Klarheit diesbezüglich und die Behebung der anderen Schwachstellen kann wohl nur AMD selber sorgen. (gpi, 14.03.2018)