Bei CPUs von AMD ist erst am vergangenen Samstag eine gefährliche Sicherheitslücke bekannt geworden, die von Sicherheitsforschern den Namen Sinkclose erhielt. Wird sie von Angreifern genutzt, können sie Vollzugriff auf das System gewinnen.
Die Sicherheitslücke mit dem Namen Sinkclose wurde bei CPUs von AMD erst vor wenigen Tagen bekanntgegeben, doch haben die Forscher festgestellt, dass sie bereits seit fast 20 Jahren besteht. Bei einem Befall kann die Sicherheitslücke unumkehrbar sein und zu schwerwiegenden Schäden führen. Angreifer können eigene Programme ausführen, was für das Betriebssystem und die Antivirus-Software kaum identifizierbar ist. Der PC ist dann nicht oder nur noch schwer zu retten.
Sicherheitslücke bereits seit fast 20 Jahren
Seit knapp 20 Jahren besteht laut Angaben von Sicherheitsforschern von IOActive die Sicherheitslücke, die den Namen Sinkclose erhalten hat und unumkehrbar ist. Die Sicherheitslücke mit der fachlich korrekten Bezeichnung CVE-2023-31315 soll mindestens seit 2006 vorhanden sein. Angreifer können diese Sicherheitslücke ausnutzen und auf den System Management Mode (SMM) zugreifen. Sie können ihre eigenen Programme einschleusen und ausführen, was eines Berichts von Wired zufolge einen Vollzugriff über das System ermöglichen könnte.
Das Betriebssystem und Antivirus-Software erkennen einen Zugriff nicht, da er komplett unsichtbar ist. Die Sicherheitsforscher von IOActive weisen auf die große Gefahr der Sicherheitslücke hin. Sie betonen, dass sich die Malware nur außerordentlich schwer entfernen lässt und es mitunter die einige Möglichkeit sei, den PC komplett zu entsorgen.
Schwierigkeit, Angriffe zu erkennen
Die Schadsoftware wird im Ring-2, unterhalb des Ring 0, ausgeführt, weshalb eine vollständige Neuinstallation des Systems sinnlos ist, um die Schadsoftware unschädlich zu machen. Um einen Angriff mit der Schadsoftware zu erkennen, bedarf es umfassender Erfahrungen. Hilfreich können auch SPI Flash Programmer und andere Werkzeuge sein. Dennoch ist größte Sorgfalt erforderlich, um den PC von der Infektion zu befreien. Forscher empfehlen daher zur Sicherheit, den PC komplett auszusondern.
Ein Angriff über Sinkclose ist jedoch kein Kinderspiel, wie die Forscher betonen. Er erfordert einen umfangreichen Zugriff, da er äußerst komplex ist. Solche Sicherheitslücken sind nicht ungewöhnlich. Läuft Software nicht im User-Modus und sichert sie umfangreiche Rechte im Betriebssystem, kann sie ein Einfallstor für Angriffe sein.
Interessant für staatliche Hacker
Die Sicherheitslücke kann für staatliche Hacker interessant sein, die im Auftrag der Regierung arbeiten und über die erforderlichen Ressourcen verfügen. Mit ihren Techniken können sie häufig auf Kernel zugreifen und einmal gewonnene Zugänge absichern. Die Forscher von IOActive haben AMD bereits im Oktober 2023 auf das Problem aufmerksam gemacht.
Da die Forscher erst an einem Fix arbeiten wollten, gaben sie die Sicherheitslücke erst jetzt für die Öffentlichkeit bekannt. Ein öffentliches Proof-of-Concept gibt es nicht. AMD arbeitet für einige Prozessoren bereits an Firmware-Updates.
Sinkclose-Attacken nicht weit verbreitet
Die Ausnutzung der Sicherheitslücke erfordert Zugriff auf den Kernel. Solche Angriffe auf der Ebene des Kernels werden zumeist gezielt genutzt. Zuvor muss das System auf einer hohen Berechtigungsebene kompromittiert werden. Da der Fehler komplex ist, kann er von Trittbrettfahrern nicht ausgenutzt werden. Sinkclose-Angriffe sind daher nicht weit verbreitet. Für Endverbraucher ist das eine gute Nachricht.
Von der Sicherheitslücke betroffene Prozessoren
Nicht alle Prozessoren von AMD sind von der Sicherheitslücke betroffen. Bei den folgenden Prozessoren ist die Sicherheitslücke vorhanden:
- AMD Instinct MI300A
- AMD Athlon 3000 Serie Mobile mit Dali und Pollock
- Ryzen Threadripper Serien 3000 und 7000
- AMD Threadripper PRO mit Castle Peak WS SP3 und Chagall WS
- Ryzen Serien 3000, 4000, 5000, 7000 und 8000
- Ryzen Mobile Serien 3000, 4000, 5000 und 7000
- Ryzen Embedded mit V1000, V2000 und V3000
- EPYC Embedded mit R1000, R2000, 3000, 5000, 7000, 7002 und 7003
- EPYC Generationen 1, 2, 3 und 54
Fixes und Updates für Prozessoren
Bereits seit Oktober 2023, seit das Problem bei AMD bekannt ist, arbeitet AMD unter dem Ticket CVE-2023-31315 an der Beseitigung des Problems. Für alle EPYC-Generationen von Zen 1 bis Zen 4 sind Updates vorgesehen. Updates für Desktop-Prozessoren gibt es erst ab Zen 3. Noch bis Oktober 2024 sollen die Updates bereitgestellt werden.
Für Ryzen 1000, 2000 und 3000 gibt es keine Updates mehr, da der Support bereits eingestellt wurde.
Quellen: IOActive, Wired, AMD, Computer Base, Stadt Bremerhaven, ZDNet, Chip