AMD Sicherheitslücken werden mit Bios Updates geschlossen (abgeschwächt)

CTS Labs hatte am 12.März AMD über Sicherheitslücken in der AMD Platform Security Processor (PSP) entdeckt, die in dem Fall nichts mit Specre und Meltdown zu tun haben. Es sind Lücken über die sich Angreifer durch Umgehung der Sicherheitskontrollen Zugriff verschaffen kann. Die AMD Secure Processor (PSP)-Checks erkennen in dem Fall nicht die Korruption.

So kann mit administrativen Rechten Malware integriert werden, die auch nach einem Reboot noch Bestand haben. Diese Probleme sind mit der Firmware verbunden und betrifft den „AMD Secure Processor“ und den Chipsatz, der in einigen Sockel AM4 und Sockel TR4 Desktop-Plattformen verwendet wird, die AMD-Prozessoren unterstützen. AMD arbeitet nun an den Updates die über die nächsten Wochen an alle betroffenen Systeme verteilt werden.

"Es ist wichtig zu beachten, dass alle in der Forschung aufgeworfenen Fragen einen administrativen Zugriff auf das System erfordern, eine Art von Zugriff, die dem Benutzer einen uneingeschränkten Zugriff auf das System und das Recht gewährt, alle Ordner oder Dateien auf dem Computer zu löschen, zu erstellen oder zu ändern sowie alle Einstellungen zu ändern. Jeder Angreifer, der sich unautorisierten administrativen Zugriff verschafft, hätte eine Vielzahl von Angriffen zur Verfügung, die weit über die in dieser Studie identifizierten Exploits hinausgehen."

Gruppen für die Sicherheitsanfälligkeit und die Erklärung

• Masterkey AMD Secure Processor oder “PSP” Firmware: Problem: Ein Angreifer, der bereits die Sicherheit eines System-Updates kompromittiert hat, kann seinen Inhalt verfälschen. AMD Secure Processor (PSP)-Checks erkennen die Korruption nicht. – Angreifer können die Sicherheitskontrollen der Plattform umgehen. Diese Änderungen sind nach einem Neustart des Systems beständig. – Firmware-Patch-Veröffentlichung durch BIOS-Update. Es werden keine Auswirkungen auf die Performance erwartet. AMD arbeitet daran und plant die Veröffentlichung in den nächsten Wochen.
• RYZENFALL und FALLOUT (AMD Secure Processor-Firmware) Problem: Ein Angreifer, der bereits die Sicherheit eines Systems gefährdet hat, schreibt in AMD Secure Processor-Register, um Schwachstellen in der Schnittstelle zwischen x86 und AMD Secure Processor (PSP) auszunutzen. – Der Angreifer kann die Sicherheitskontrollen der Plattform umgehen, ist aber bei Neustarts nicht beständig. Es kann schwer zu erkennende Malware in SMM (x86) installiert werden. – Firmware-Patch-Veröffentlichung durch BIOS-Update. Es werden keine Auswirkungen auf die Performance erwartet. AMD arbeitet daran und plant die Veröffentlichung in den nächsten Wochen.

• CHIMERA Chipsatz wird in vielen Sockel AM4 Desktop und Sockel TR4 High-End Desktop (HEDT) Plattformen verwendet. Sowie AMD EPYC-Serverplattformen, EPYC- und Ryzen Embedded-Plattformen sowie AMD Ryzen Mobile FP5-Plattformen verwenden nicht den „Promontory“-Chipsatz. Problem: Ein Angreifer, der bereits die Sicherheit eines Systems gefährdet hat, installiert einen bösartigen Treiber, der bestimmte Promontory-Funktionen aufdeckt. – Der Angreifer greift über den Chipsatz auf den physikalischen Speicher zu. Der Angreifer installiert schwer zu erkennende Malware im Chipsatz, ist aber bei Neustarts nicht beständig. – Abschwächen der durch das BIOS-Update veröffentlichten Patches. Es werden keine Auswirkungen auf die Performance erwartet. AMD arbeitet mit dem Drittanbieter zusammen, der den „Promontory“-Chipsatz entwickelt und hergestellt hat.

Bei allen Methoden des Angriffs muss der Angreifer administrative Rechte haben. Man sollte zwar gewarnt sein, aber man kann solange der Patch nicht erscheint nun keine Panik bekommen. Alles weitere dazu könnt ihr unter community.amd.com, sowie blog.trailofbits.com nachlesen.