Quelle: Astaroth: The Processor von Brian Wong Lizenz: CC BY-SA 2.0
Vor wenigen Tagen machte eine Meldung die Runde, die sehr an Meltdown und Spectre erinnerte. Die bis dahin unbekannte israelische Sicherheitsfirma CTS-Labs Research berichtete über 13 angebliche Lücken in AMDs aktuellen Desktop- und Server-Prozessoren Ryzen und Epyc. Die Aufmachung war reißerisch, inklusive martialischer Namen für die vermeintlichen Lücken. Zudem war die Art und Weise des Disclosure, also der Veröffentlichung äußerst ungewöhnlich, da AMD nur 24 Stunden Zeit hatte, die Richtigkeit der Berichte zu überprüfen, bevor sie veröffentlicht wurden. Geläufig sind hier mindestens 90 Tage.
Dubioses Disclosure
Die Sicherheits-Szene fand diese Herangehensweise äußerst verdächtig und hielt das Ganze für eine Promotion-Aktion oder den Versuch, AMDs Aktienkurs in einer konzertierten Aktion zu manipulieren. Allerdings bestätigten am nächsten Tag drei Forscher bekannter Sicherheitslabore die Funde. Jetzt hat auch AMD offiziell reagiert. AMDs CTO und Senior Vice President Mark Papermaster hat die Existenz aller 13 von CTS-Labs in den Prozessoren Ryzen und Epyc sowie in den von AMD verwendeten Promontory-Chipsätzen bestätigt.
»Any attacker gaining unauthorized administrative access would have a wide range of attacks at their disposal well beyond the exploits identified in this research.« – MarkPapermaster
Keine Leistungseinbußen
Die Schwachstellen betreffen die Firmware, die den AMD Secure Processor verwaltet, und die Chips, die in einigen Sockel AM4 und Sockel TR4 Desktop-Plattformen mit AMD-CPUs verwendet werden. Papermaster sagte, jede der Lücken werde in den nächsten Wochen durch neue Microcode-Versionen geschlossen, ohne dass dadurch Leistungseinbußen wie bei Meltdown und Spectre zu befürchten seien. Er stellte zudem klar, dass die Fehler nicht im Silizium der Prozessoren stecken, sondern in der Software, die darauf implementiert ist. Somit können die Lücken vollständig über den Microcode geschlossen werden.
Schwer auszunutzen
Papermaster betonte, dass alle gefundenen Lücken zu ihrer Ausbeutung voraussetzen, dass der Angreifer über administrative Rechte verfügt. Hat ein Angreifer diese, gehört der betroffene Rechner sowieso nicht mehr dem eigentlichen Eigner. Von daher sind die Funde von CTS-Lab zwar korrekt, aber wesentlich weniger spektakulär als die Aufmachung der Veröffentlichung vermuten ließ.
War AMD bei Meltdown und Spectre noch relativ glimpflich davongekommen, so könnte die Glückssträhne unter Umständen nun zu Ende zu sein. Das israelische IT-Sicherheitsunternehmen CTS-Labs hat nach eigenen Angaben 13 Sicherheitslücken in AMDs aktuellen Prozessoren Ryzen und EPYC entdeckt, die die Bereiche Desktop und Server abdecken. Diese wurden in vier Klassen mit den Namen Ryzenfall, Masterkey, Fallout und Chimera eingeteilt. Die Lücken befinden sich angeblich, wie auch Meltdown und Spectre, in Bereichen der CPUs, die sicherheitsrelevante Daten des Anwenders vorübergehend speichern.
Unübliches Vorgehen
Die seit einem Jahr bestehende Firma CTS-Labs hält anscheinend nicht viel von der Gepflogenheit, einem Unternehmen die üblichen 90 Tage zur Untersuchung zu gewähren, bevor Sicherheitslücken öffentlich gemacht werden. Das Labor veröffentlichte seine Erkenntnisse bereits 24 Stunden nach Bekanntgabe an AMD. Daher liegt derzeit von AMD auch nur eine allgemeine Stellungnahme vor, man überprüfe derzeit die Angaben von CTS-Labs. Mittlerweile sind laut Heise.de Zweifel an der Seriosität der Firma CTS-Labs angebracht. Weder liegt ein Proof of concept für die Lücken vor, noch wurden sie als Common Vulnerabilities and Exposures (CVE) gemeldet.
Unterschiedliche Angriffsvektoren
Die beschriebenen Sicherheitslücken setzen an verschiedenen Punkten der Prozessoren an. Die drei Lücken, die unter der Bezeichnung Masterkey laufen sowie die Lücke Ryzenfall-4 finden sich angeblich im Platform Security Processor (PSP) der Prozessoren. Dieser auch als »AMD Secure Processor« bekannte Bereich, der mit Intels Management Engine vergleichbar ist, befindet sich in allen AMD-Prozessoren seit 2014. Er ist in einem ARM Cortex-A5-Kern integriert. Um diese Lücken auszunutzen ist physischer Zugriff auf das Gerät oder die Kombination mit anderen Attacken notwendig.
Einfallstor Microsoft Device Guard
Ryzenfall und Fallout umfassen mehrere Lücken, die einerseits den Microsoft Device Guard von Windows 10 sowie per Code-Injection den Sytem Management Mode (SMM) der x86-Architektur umgehen. Ryzenfall kann mit Admin-Rechten sowohl Code im PSP ausführen als auch auf dem PSP vorbehaltene Speicherbereiche zugreifen. Chimera dagegen sitzt laut CTS-Labs im Chipsatz und der Firmware von USB-Controllern, die nur auf Ryzen und Ryzen Pro verbaut sind. Hier gelang es den Forschern, Code im Chipsatz auszuführen.
Zweifel erlaubt
Was an den Lücken dran ist, werden die nächsten Tage zeigen. Sollte der Fund echt sein, könnten Angreifer Kontrolle über Ryzen und EPYC Prozessoren und Chipsets erhalten und mit Malware infizieren. Zudem können Passwörter und andere sicherheitskritische Daten gestohlen und alle Sicherheitsmechanismen der CPUs umgangen werden.
Verdächtig ist in jedem Fall die auf 24 Stunden verkürzte Vorlaufzeit. Mittlerweile wurden Vermutungen laut, es handle sich um einen Versuch der Kursmanipulation. Anlass dazu gibt ein Nachruf auf AMD auf der Webseite von Viceroy Research. Erst gestern warnte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) vor dem Unternehmen, dessen Webseite kein Impressum aufweist. Auch Linus Torvalds hat auf G+ mittlerweile heftige Zweifel an der Echtheit der Lücken geäussert.
