News Ryzenfall und Co.: AMD kündigt BIOS‑Updates gegen Sicherheitslücken an

[HaZweiOh]

An so einer Geschichte sieht man sehr gut

- dass es unter selbst ernannten "Sicherheitsforschern" jede Menge Flachpfeifen wie CTS "Labs" gibt, deren Hauptgeschäft aus Aktien-Manipulationen, Photoshop, Powerpoint und "gefährlich klingenden Codenamen" besteht

- dass es riesige Qualitäts-Unterschiede bei der Presse gibt. Manche machen wirklich nur Copy & Paste aus der Pressemitteilung der CTS-Pfeifen, ohne mal 5 Minuten nachzudenken. ComputerBase hat in diesem Fall einen guten Job gemacht, das ist aber leider nicht immer so.

 

[pommgreif]

ich finde es doch immer wieder lustig zu hören wie schnell eine sicherheitslücke da ist . um adminrechte zu bekommen , muss ich auf den rechner zugriff haben . habe ich adminrechte , ist jeder rechner offen . dieser scheiß mit sicherheitslücken bei amd geht mir echt auf den zeiger . amd geht es besser und jetzt muss man suchen suchen und noch mal suchen damit die schlechter wie intel da stehen ? man sollte doch mal die fakten sehen . intel baut scheiße und macht einen dreck dagegen . nein , man sucht förmlich nach schwachstellen beim konkurrenten um von sich ab zulenken . wer hat den firmen verucht vor zuschreiben was die verbauen sollen . wer hat seine markposition ausgenutzt und jetzt wo es der konkurrenz besser geht , gehen die wieder mit unfairen methoden vor ? ich kann es nicht mehr hören . laut heise.de , ist amd nur schwer zu knacken , siehe man braucht adminrechte . hört auf auf amd zu kloppen und kloppt mal auf intel herum die seit core 2 duo alles offen hatten und nicht viel gegen machen . für meinen intel core i5-2430m ist immer noch kein bios-update da und für meinen intel core i5-4690k auch noch nicht . wie seltsam das man da urplötzlich bei amd sicherheitslücken findet die seltsamerweise nur mit adminrechte wirklich offen sind .

 

[Herdware]

um adminrechte zu bekommen , muss ich auf den rechner zugriff haben . habe ich adminrechte , ist jeder rechner offen

Es liest keiner, was ich schreibe, bzw. was desmoule schon im 4. Beitrag geschrieben hat oder?

Sieht denn niemand, dass die Möglichkeit Schadcode in den PSP (oder IME) zu schreiben, in jedem Fall eine haarsträubende Sicherheitslücke ist, auch dann, wenn man dazu Admin-Rechte braucht?
Klar kann man so oder so gewaltigen Schaden anrichten, wenn man erst mal vollen Zugriff auf das System hat, aber Schadecode unsichbar und unlöschbar dauerhaft im System zu installieren, so das nicht mal komplettes Formatieren aller Datenträger und sogar neu flashen des BIOS hilft... das ist nochmal eine ganz neue Dimension.

Ich schließe mich da vollauf NoXPhasma an. PSP und IME haben sich als eine schlechte Idee herausgestellt.

Die ursprüngliche Absicht, ein vor Schadsoftware sicheres Subsystem zu schaffen, mag gut gewesen sein, aber wie sich heraus gestellt hat, sind diese sich weitgehend der Kontrolle durch den Besitzer des PCs entziehenden Funktionen statt dessen selbst ein extrem gefährlicher Unterschlupf für Schadsoftware und ich glaube nicht daran, dass es jemals gelingen würde, sie ganz abzusichern.

 

[kilosp]

Ach? Haben sich da nicht einige IT-Magazine weit aus dem Fenster gelehnt und behauptet, dass das alles erfunden ist und nix dran? Nach dem Motto: Ist doch das gute AMD, da kann doch sowas gar nicht passieren.

 

[anexX]

Das ist wie "Hey, ich kann in euren Tresor einbrechen !*"

*= Aber nur dann wenn vorher schon aufgeschlossen war.

 

[HaZweiOh]

Nach dem Motto: Ist doch das gute AMD

Du kannst dir dein Getrolle sparen. Was CTS für eine Bude ist und welche Absichten sie hatten, hat inzwischen fast jeder erkannt.

Statt über kritische und mitdenkende Presse zu schimpfen, solltest du sie loben, aber scheinbar hast du nicht kapiert, was hier abgeht und welches Spiel CTS dabei spielt, nichts anderes als Aktien-Manipulation.

Jetzt müssen nur noch die ganzen Lücken in Intel-Boards geschlossen werden. Komischerweise gibt es dazu keine Webseite "Intel-Fall", kein buntes Logo, keine Pressemitteilung und keine Wette auf fallende Kurse. Warum eigentlich?


PS: Ingesamt gesehen sind diese Engines eine schlechte Idee, das ist auch wahr.

 

[modena.ch]

Nunja auf AMD Seite kann mann den PSP ja deaktivieren.
Und im allerschlimmsten Fall wenn Schadcode in der FW ist und sich das UEFI nicht mehr neu flashen lässt, sollte mit dem Autausch des BIOS Chips alles gegessen sein.

 

[immortuos]

Ach? Haben sich da nicht einige IT-Magazine weit aus dem Fenster gelehnt und behauptet, dass das alles erfunden ist und nix dran? Nach dem Motto: Ist doch das gute AMD, da kann doch sowas gar nicht passieren.

Lesen ist wohl eine nicht mehr allzu weit verbreitete Kernkompetenz. Keiner hat es als unwichtig abgelehnt, es wurde nur korrekt festgehalten, dass der Angreifer erst Root Rechte benötigt, zu dem Zeitpunkt gibts dann aber echt größere Probleme als die hier beschriebenen Lücken.
Einziges wirkliches Problem ist das Fortbestehen nach dem Fund/einer Neuinstallation/Biosflash. Und das wird von AMD in den nächsten Wochen behoben, ist also derzeit auch kein Risiko (denn wie gesagt mit Rootrechten kann man ganz andere Späße haben).

 

[dr. lele]

Gibt es irgendwelche Sanktionen dafür, dass CTS-Labs sich nicht an den normalen 90-Tage Zeitraum gehalten hat? Ihre Erklärung dafür bei Anandtech war ja, dass 'AMD die Lücken eh nie in 90 Tagen schließen könnte' Quelle.

Dass das Unfug ist, zeigt AMD nun, wenn sie die Lücken wirklich innerhalb von 90 Tagen schließen. Somit hätte CTS-Labs wirklich in allem außer den Lücken selbst falsch gelegen, was ihre Glaubwürdigkeit nahe 0 bringt.

 

[Herdware]

es wurde nur korrekt festgehalten, dass der Angreifer erst Root Rechte benötigt, zu dem Zeitpunkt gibts dann aber echt größere Probleme als die hier beschriebenen Lücken.

Also das sehe ich anders. Ich kann mir kaum ein größeres Problem vorstellen, als die Möglichkeit, Schadcode in die PSP (oder IME) einzuschleusen.
Damit hat der Angreifer nicht nur dauerhaft (auch nach Neustarts usw.) vollen Zugriff auf den Rechner, der so untergebrachte Schadcode ist auch noch praktisch unauffindbar und unlöschbar. Der Recher ist praktisch unrettbar kompromitiert.

Und was ist mit dem Szenario, das ich in Beitrag #40 genannt habe?

Woher wissen wir, dass der PSP (oder auch IME) nicht schon bei dem neuen Rechner verseucht ist, den wir uns gerade gekauft haben?
Es müsste nur irgendwann in der langen Kette von AMD über den Hersteller des PCs (Fabrik irgendwo in China), diverse Logistikunternehmen (Speditionen, Zwischenlager usw.) bis zum Händler mal jemand kurz unbeobachteten Zugang zum Rechner bzw. nur Mainboard+CPU gehabt haben.

Es geht mir einfach nicht in den Kopf, jemand das kleinreden kann. Admin-Zugriff oder nicht. So eine Lücke darf nicht da sein und zum Glück sieht AMD das ja auch so und hat sie schnell gefixt.
(Bis zur nächsten Lücke, die entdeckt wird, weswegen es erst gar keine PSPs oder IMEs im Rechner geben dürfte, die sich der Kontrolle durch den Besitzer entziehen.)

 

[Volkimann]

Interessante Quelle, interessante Aussage.
Dann hätten sie auch die 90 Tage warten und an Tag 91 veröffentlichen können.

Allein an dem Verhalten und so einer Aussage erkennt man wie seriös dieser Laden ist.

@Herdware
Vielleicht täusche ich mich, aber weshalb hab ich solche Sätze von dir nicht bei Intels ME nicht gelesen?

 

[HaZweiOh]

@Herdware
weshalb hab ich solche Sätze von dir nicht bei Intels ME gelesen?

Das frage ich mich auch, zumal das Risiko für Intel-Käufer allein wegen des Marktanteils dramatisch höher liegt. Malware-Autoren arbeiten auch ökonomisch. Wenn sie ein Ziel mit 80 % Marktanteil (und ohne Updates!) angreifen können, werden sie sicher nicht auf das 20 %-Ziel mit BIOS-Updates umschwenken.

 

[Rock Lee]

Gibt es irgendwelche Sanktionen dafür, dass CTS-Labs sich nicht an den normalen 90-Tage Zeitraum gehalten hat? Ihre Erklärung dafür bei Anandtech war ja, dass 'AMD die Lücken eh nie in 90 Tagen schließen könnte' Quelle.

Die Börsenaufsicht auf den Plan zu bringen ist schon Strafe genug Wenn der Verdacht sich erhärtet, möchte ich nicht in der Haut dieser Pseudo-Sicherheitsforscher stecken

 

[cbtestarossa]

Die Börsenaufsicht auf den Plan zu bringen ist schon Strafe genug

Ui ja, denn wenn den Amis eines heilig ist dann das liebe Geld.
Sicherheitslücken und Datenschutz sind da weniger im Fokus.

 

[Herdware]

Vielleicht täusche ich mich, aber weshalb hab ich solche Sätze von dir nicht bei Intels ME nicht gelesen?

Ich bin mir nicht sicher, dass ich bei dem Thema überhaupt einen Kommentar geschrieben habe. Da müsste ich erst mal selbst nachschauen.

Aber da gabs halt auch (hoffentlich) keine Debatte darum, dass dieser Fehler nur halb so wild sein, weil man ja Admin-Rechte braucht oder sowas. Da waren sich alle einig, dass diese Lücke und IME insgesamt eine Katastrophe ist.

Für mich ist das einfach keine Intel vs. AMD-Geschichte. Ich kann keinen verstehen, egal aus welchem "Lager", der nach Ausreden sucht etwas klein zu reden oder zu relativieren, oder vielleicht auch einfach durch eine Fan-Brille schaut und deshalb unbewusst nicht richtig sieht.

 

[Teralios]

...

Das Problem - weswegen man auch eure Beiträge nur bedingt "ernst" nehmen kann, ist doch die Tatsache, dass hier erst mal nur von einem "administrativen Zugriff" gesprochen wird, anschließend aber die Zugänge der verschiedenen Betriebssysteme als auch die auf die Hardware bunt miteinander gemischt werden und jeder hier sein Halbwissen mit einstreut.

Denn die Frage ist bei den Sicherheitslücken - was so nicht ganz klar wird - WELCHEN administrativen Zugriff braucht man. Und ja, es ist recht einfach sich in Windows auch unberechtigterweise entsprechende Berechtigungen zu beschaffen, aber ob diese bereits ausreichen?

Daneben gibt es noch die physische Ebene und eben die Ebene auf UEFI/ME/PSP-Ebene. Und da wird es eben knifflig. Welche Ebene meint denn nun AMD? Und ehrlich gesagt, wenn die Betriebssystemebene schon reicht, ok, dann wird es unschön. Muss man aber eine Ebene darunter die Rechte erlangen, wird es schon wieder schwer.

 

[DarkerThanBlack]

Man sollte also nicht unterschätzen, was so ein Exploit in diesen scheiß Zusatzprozessoren anrichten kann. Die ist sehr potent, bleibt vollkommen unerkannt und man wird sie nie wieder los.

Ja, dies habe ich auch schon so gehört. In manchen schweren Fällen hat der Rechner sogar Beine bekommen und ist Nachts unter das Bett gekrabbelt und hat dort tagelang für Angst und Schrecken gesorgt.
Ich gehöre zwar nicht zu den Ängstlichen, aber dies würde mir tatsächlich ein Unbehagen erzeugen.

 

[DEFCON2]

Solche Fehler kommen und werde behoben... Die einzig wichtige Lehre aus der Sache ist doch, dass man eine freie und auf das Wesentliche reduzierte Alternative wie Coreboot benötigt, wo die Boardhersteller mitziehen, damit der Endkunde nicht der Kompetenz und dem Wille des Mainboardherstelles ausgeliefert ist. Die wiederum sind aber nur daran interessiert ihrem Produkt möglichst ein UEFI mit der flashigsten Oberfläche und Internetzugang zu verpassen . So bleibt nur das Laden des Microcodes vom Betriebssystem, was ich persönlich relativ undurchsichtig finde...

 

[eratte]

1 All the issues can be confirmed on related AMD hardware, but require Admin Access at the metal

https://www.anandtech.com/show/12556/amd-confirms-exploits-patched-in-weeks

 

[Herdware]

Das Problem - weswegen man auch eure Beiträge nur bedingt "ernst" nehmen kann...

Wer ist denn "eure"? Ich wüsste nicht, das ich zu irgendeinem Club gehöre.

Muss man aber eine Ebene darunter die Rechte erlangen, wird es schon wieder schwer.

Selbst wenn jemand dafür direkten physischen Zugriff zur Hardware (CPU+Mainboard) bräuchte, wäre es schon schlimm genug. Wie gesagt lötet man sich seinen PC ja nicht selbst. Die Hardware hat schon eine Weltreise hinter sich, bevor der PC beim Händler steht, bei dem man ihn kauft.

Es wäre natürlich noch viel schlimmer, wenn jede Drive-By-Attacke aus dem Internet in einem eingeschränkten Benutzerkonto Schadcode in die PSP schleusen könnte. Aber allein, dass sowas überhaupt möglich ist, ist eine mehr als ernste Bedrohung.
Und ja, damit ist die Intel-Lücke im IME um einiges gefährlicher! Das versteht sich doch von selbst und muss nicht jedes mal betont werden, nur um Fanboygefühle nicht zu verletzen.

Es geht mir einfach nicht in den Kopf, wie jemand sagen kann, dass man die PSP-Lücke nicht mal als Sicherheitslücke bezeichnen kann, weil ja eh alles egal wäre, sobald jemand root/Admin-Zugriff hat. Es ist eben auch dann nicht alles egal! Es ist eine Sache, das OS manipulieren, Software installieren und auf alle Daten auf dem Massenspeicher zugreifen zu können usw. Einen Schädling in eine separate Mamagement-Einheit einschleusen zu können, die sich quasi auf Hardwarebene der Kontrolle durch den Benutzer und auch das OS und alle Anti-Schädlings-Programme usw. entzieht, ist nochmal eine neue Größenordnung.
Das habe ich nur versucht zu erklären. Aber da ich wohl irgendwie als Intel-Fan abgestempelt wurde, warum auch immer, nimmt das keiner ernst...

Ernsthaft, diese bescheuerte Fanboy-Denke geht mir mächtig auf den Zeiger und verdirbt mir jede Lust, mich überhaupt an solchen Diskussionen zu beteiligen.
Nicht dass es neu wäre... Als ich mit dem Computer-Hobby angefangen habe, da hat man sich noch drum gezofft ob MOS, Zilog, Motorola usw. die besseren CPUs bauen. Aber irgendwie war es trotzdem sachlicher...
Ich werde vielleicht einfach zu alt für solchen Unsinn.