AGESA-Updates gegen Sinkclose-Lücke: Wichtige Updates für AMD Ryzen und Epyc in der Übersicht

HWL News Bot

HWL News Bot

News
Thread Starter
Mitglied seit
06.03.2017
Beiträge
113.535
Zahlreiche AMD-Systeme sind von der Sinkclose-Sicherheitslücke betroffen, die bereits seit dem Jahr 2006 existieren soll und im vergangenen Jahr an AMD übermittelt wurde. Publik wurde diese Sicherheitslücke letzten Monat, um AMD genügend Zeit zu geben, um diese als hoch eingestufte Sicherheitslücke mit der registrierten Nummer CVE-2023-31315 zu schließen. Stand jetzt gibt es für die zahlreichen AMD-Systeme entsprechende AGESA-Updates, die diese Sicherheitslücke schließt. Betroffene Anwender sollten daher zeitnah das BIOS-Update mit der aktualisierten AGESA-Version installieren. In dieser News sorgen wir für eine bessere Übersicht über die betroffenen Prozessoren und die AGESA-Versionen.
... weiterlesen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Das habe ich noch mit ergänzt. Danke!
 
Mr.Mito schrieb:
Ein Hauptproblem ist wie immer, dass es keine normalen Testmöglichkeiten gibt. Am Ende wurden bereits etliche CPUs kompromittiert und die malware schlummert bis zum Einsatz vor sich hin.
Zum Vergrößern anklicken....
So schnell geht es nicht. Am 11.08.2024 wurde die Sicherheitslücke Weltweit bekannt gemacht, davor,

also am 30.07.2024 wurden die AGESAs gegen Sinkclose ausgeliefert, für Ryzen 3000 Serie am 16.08.2024.

Gigabyte hat am 23.08.2024 die ersten BETAs ausgeliefert, die die Sicherheitslücke Sinkclose eliminierte.

Das Heiß: Die ganzen bösen Hacker hatten gerade mal 12 Tage Zeit die Funktionsweise der Sicherheitslücke zu verstehen,

und entsprechend Tools zu entwickeln.

Die Kisten, die mit Sinkclose infiziert werden, kommen erst noch. :giggle::LOL::ROFLMAO:Schauen wir mal.
 
Dass es erst im August 2024 einer "ahnungslosen" Öffentlichkeit bekannt gemacht wurde, heisst noch lange nicht, dass die Hacker es nicht vorher wussten.
Sinkclose existiert seit 2006

Sinkclose - Wikipedia

en.wikipedia.org en.wikipedia.org
 
Steht auch so in der News. ;)
 
FirstAid schrieb:
Das Heiß: Die ganzen bösen Hacker hatten gerade mal 12 Tage Zeit die Funktionsweise der Sicherheitslücke zu verstehen,
Zum Vergrößern anklicken....
Also AMD selbst wurde Beispielsweise im Oktober 2023 über die Lücke informiert und entdeckt wurde das ganze noch früher. Sind also definitiv mehr als 12 Tage vor allem wenn das Problem schon seit 2006 besteht.
 
leonk schrieb:
Also AMD selbst wurde Beispielsweise im Oktober 2023 über die Lücke informiert und entdeckt wurde das ganze noch früher. Sind also definitiv mehr als 12 Tage vor allem wenn das Problem schon seit 2006 besteht.
Zum Vergrößern anklicken....
Bitte besser lesen. Ich habe geschrieben:

Am 11.08.2024 wurde die Sicherheitslücke Weltweit bekannt gemacht

Entdeck wurde die Lücke wohl im Oktober 2023, die Entdecker wussten seit Oktober 2023 von der Lücke.

Was der sogenannter @mahrhofer schreibt ist nichts anderes als pure Spekulation.

Genau weiß es keiner, ob gewisse Geheimdienste diese Lücke bekannt war.

Der @mahrhofer tut so, als ob jede Lücke, die bekannt gemacht wird, schon lange bekannt sei. ALU-Hut und so....
Beitrag automatisch zusammengeführt:

Erstmal muss man die Lücke verstehen, um sie auch nutzen zu können, danach werden die Tools entwickelt.

Besonders bei dieser sehr schwierig auszunutzende Lücke.
 
Zuletzt bearbeitet:
FirstAid schrieb:
Entdeck wurde die Lücke wohl im Oktober 2023, die Entdecker wussten seit Oktober 2023 von der Lücke.
Zum Vergrößern anklicken....
Im Oktober wurde AMD informiert entdeckt wurde das ganze aber schon früher.
Die beiden bei IOActive tätigen Sicherheitsforscher haben diese auch als Sinkclose bezeichnete Sicherheitslücke schon vor Jahren aufgedeckt.
Zum Vergrößern anklicken....
www.heise.de

CPU-Sicherheitslücke in AMD-Prozessoren ermöglicht Malware-Infektionen

Sicherheitsforscher haben eine als Sinkclose bezeichnete Sicherheitslücke in AMD-CPUs entdeckt und auf der Defcon 32 in Las Vegas präsentiert.
www.heise.de www.heise.de
 
Erster Absatz und gleich der erste Satz aus der News:

"Zahlreiche AMD-Systeme sind von der Sinkclose-Sicherheitslücke betroffen, die bereits seit dem Jahr 2006 existieren soll und im vergangenen Jahr an AMD übermittelt wurde."
 
Das Problem an der Sache ist, dass ein kompletter BIOS-Reset mittels Clear-CMOS oder auch die Neuinstallation des Betriebssystems keine Abhilfe schaffen. Dieser schadhafte Code ist dauerhaft existent, was demnach bedeutet, dass der betroffene Anwender den Unterbau entsorgen kann beziehungsweise sollte.
Zum Vergrößern anklicken....

Wenn man die AGESA per USB Stick neu installiert, sollte auch die Malware weg sein. Ein CLR-CMOS hilft nicht aber ein überschreiben der AGESA mit der gleichen Version per USB Stick und reFlash Button auf der Rückseite des Mainboards sollte schon helfen. Schließlich wird dann auch der Speicher des SMU überschrieben, mit dem original UEFI ohne Virus.

Ab AGESA 1.2.0.0a läuft mein RAM nicht mehr ohne Fehler! Mit Agesa 1.1.7.0 läuft alles ohne Probleme. Ein Update ist für mich fast unmöglich.

Wie man sich den Virus einfangen kann, wird sehr abstrakt dargestellt. Vereinfacht gesagt, wer ne Spiel-Raubkopie installiert und die dann mit Adminrechten ausführt, kann betroffen sein! Gecrackte Spiele, sind fast alle nach der Installation mit Adminrechten versehen. Deshalb: immer Finger weg von "umsonst" Software!

Um sich selber besser zu schützen, sollte man unter W10/11 ein Admin Kennwort setzen!

1726154693837.png



Update: Thema VALORANT - Anticheat Software mit RING 0 Zugriff !

Wenn man Valorant installiert, installiert man gleichzeitig den Anti Cheat namens Vanguard. Dieser erzwingt Kernel Zugriff. Abgesehen von der gigantischen Sicherheitslücke die man sich da ins Haus holt...
Zum Vergrößern anklicken....
www.computerbase.de

Andere - Valorant Anti-Cheat mit Ring-0 Zugriff

Ich bin mir nicht sicher, ob das hier richtig aufgehoben ist, aber ich dachte es könnte ein paar Leute interessieren: Wenn man Valorant installiert, installiert man gleichzeitig den Anti Cheat namens Vanguard. Dieser erzwingt Kernel Zugriff. Abgesehen von der gigantischen Sicherheitslücke die...
www.computerbase.de www.computerbase.de
 
Zuletzt bearbeitet:
Bladee schrieb:
Wenn man die AGESA per USB Stick neu installiert, sollte auch die Malware weg sein. Ein CLR-CMOS hilft nicht aber ein überschreiben der AGESA mit der gleichen Version per USB Stick und reFlash Button auf der Rückseite des Mainboards sollte schon helfen. Schließlich wird dann auch der Speicher des SMU überschrieben, mit dem original UEFI ohne Virus.

Ab AGESA 1.2.0.0a läuft mein RAM nicht mehr ohne Fehler! Mit Agesa 1.1.7.0 läuft alles ohne Probleme. Ein Update ist für mich fast unmöglich.

Wie man sich den Virus einfangen kann, wird sehr abstrakt dargestellt. Vereinfacht gesagt, wer ne Spiel-Raubkopie installiert und die dann mit Adminrechten ausführt, kann betroffen sein! Gecrackte Spiele, sind fast alle nach der Installation mit Adminrechten versehen. Deshalb: immer Finger weg von "umsonst" Software!

Um sich selber besser zu schützen, sollte man unter W10/11 ein Admin Kennwort setzen!

Anhang anzeigen 1026675
Zum Vergrößern anklicken....
Also nach aktuell Stand der Kenntnis reicht ein Bios flash nicht aus um ein potentiellen Schädling/Infektion zu entfernen.
 
n3cron schrieb:
Also nach aktuell Stand der Kenntnis reicht ein Bios flash nicht aus um ein potentiellen Schädling/Infektion zu entfernen.
Zum Vergrößern anklicken....

BIOS Reflash und M.2 Erase mit dem UEFI und dann Windows neu installieren?

Ich denke man ist bei einem infiziertem System in einer Dauerschleife, die man kaum durchbrechen kann!
SMU infiziert das Windows. Windows infiziert die SMU.
 
Bladee schrieb:
BIOS Reflash und M.2 Erase mit dem UEFI und dann Windows neu installieren?

Ich denke man ist bei einem infiziertem System in einer Dauerschleife, die man kaum durchbrechen kann!
SMU infiziert das Windows. Windows infiziert die SMU.
Zum Vergrößern anklicken....
So in etwa.
 
Bladee schrieb:
Update: Thema VALORANT - Anticheat Software mit RING 0 Zugriff !
Zum Vergrößern anklicken....
Da braucht man nur ZenTimings nutzen. Da wird permanent ein IO-Treiber Installiert der Ring0 Zugriff ohne Admin Rechte ermöglicht.

Bin mir aber nicht sicher ob das mittlerweile behoben wurde aber im Frühjahr war das zumindest noch der Fall.

github.com

inpout driver is a security risk. · Issue #38 · irusanov/ZenTimings

As long as the inpout driver used by ZenTimings is installed it allows universal read-write access to the whole systems memory. This is especially problematic because it enables software running wi...
github.com github.com
 
Entspannt euch. Das ist nicht die erste und nicht die letzte Bankrotterklärung von UEFI :asthanos: Was zu erwarten war, denn eigemtlich wurde es unter der Federführung von Mickeysoft durchgepeitscht.

Wegen der Sicherheit. Die kennen sich mit sowas aus :fresse2:
 
Zusammenhang zu UEFI? SMM wurde 1990 von Intel mit dem 386er eingeführt. BIOS/UEFI egal.

System Management Mode - Wikipedia

en.wikipedia.org en.wikipedia.org

FM4E schrieb:
Das habe ich noch mit ergänzt. Danke!
Zum Vergrößern anklicken....
Weist du ob AMD bei einem AGESA Update die betreffenen EInheiten in der CPU "nicht einfach" auf Manipulation prüfen und bei festgestellten Veränderungen das Update z.B. mit Hinweismeldung verweigern oder zumindest eben eine Warnung ausgeben könnte?
Bei solch tiefgreifenden Lücken fehlt irgendwie jedes Mal aufs Neue eine Überprüfung, ob denn ein System schon kompromittiert ist.


@Bladee:
Wenn ich es noch richtig in Erinnerung habe, geht eine Entfernung nur (theoretisch) mit rumgelöte und direktem SMPI Zugriff. Selbst die aktuellen Entdecker meinten, es sei einfacher seine Hardware weg zu werfen.

EDIT:
www.wired.com

‘Sinkclose’ Flaw in Hundreds of Millions of AMD Chips Allows Deep, Virtually Unfixable Infections

Researchers warn that a bug in AMD’s chips would allow attackers to root into some of the most privileged portions of a computer—and that it has persisted in the company’s processors for decades.
www.wired.com www.wired.com

Only opening a computer's case, physically connecting directly to a certain portion of its memory chips with a hardware-based programming tool known as SPI Flash programmer and meticulously scouring the memory would allow the malware to be removed, Okupski says.
Zum Vergrößern anklicken....
 
Zuletzt bearbeitet:
Mr.Mito schrieb:
Weist du ob AMD bei einem AGESA Update die betreffenen EInheiten in der CPU "nicht einfach" auf Manipulation prüfen und bei festgestellten Veränderungen das Update z.B. mit Hinweismeldung verweigern oder zumindest eben eine Warnung ausgeben könnte?
Bei solch tiefgreifenden Lücken fehlt irgendwie jedes Mal aufs Neue eine Überprüfung, ob denn ein System schon kompromittiert ist.
Zum Vergrößern anklicken....
Mir ist bisher nichts dazu bekannt und generell dürfte es schwierig sein, dies zu überprüfen bzw. umzusetzen. Ein Windows-Tool erhält berechtigt (normalerweise) keinen Zugriff auf die SMM-Ebene. Von daher wüsste ich nicht, wie man dies überprüfen könnte.
 
FM4E schrieb:
Mir ist bisher nichts dazu bekannt und generell dürfte es schwierig sein, dies zu überprüfen bzw. umzusetzen. Ein Windows-Tool erhält berechtigt (normalerweise) keinen Zugriff auf die SMM-Ebene. Von daher wüsste ich nicht, wie man dies überprüfen könnte.
Zum Vergrößern anklicken....
Genau das hab ich auch gelesen das keine security software der Welt in der Lage wäre so tief zu schauen. Vor allem müsste m auch wissen nach was man suchen muss, damit fängt es schon mal an.

Man müsste einen exploit nutzen um einen exploit festzustellen oder so ähnlich.
 
Ja, das kann man so festhalten.
 
FM4E schrieb:
Mir ist bisher nichts dazu bekannt und generell dürfte es schwierig sein, dies zu überprüfen bzw. umzusetzen. Ein Windows-Tool erhält berechtigt (normalerweise) keinen Zugriff auf die SMM-Ebene. Von daher wüsste ich nicht, wie man dies überprüfen könnte.
Zum Vergrößern anklicken....
Ich fragte mich einfach ob dies für AMD nicht im Zuge vom UEFI Updates möglich sei, also beim Updatevorgang, nicht aus dem OS heraus. Mag naiv sein, aber quasi ein Abgleich der Bereiche wie bei einem dif.
Der "Soll-Zustand" ist ja bekannt.
 
Ja, das wäre interessant. Ich kann morgen mal bei AMD eine Anfrage stellen. Ob ich eine Antwort erhalte, ist natürlich unklar.
 
Mr.Mito schrieb:
Zusammenhang zu UEFI? SMM wurde 1990 von Intel mit dem 386er eingeführt. BIOS/UEFI egal.
Zum Vergrößern anklicken....
D.h. da die Lücke seit etwa 2006 durchgeschleppt wird, man das auch auf einem Brett mit Athlon 64 X2 (Brisbane) machen könnte? Ist das soweit bestätigt, daß es durchführbar ist oder existiert der Fehler nur seit 2006 und kann seit 2010 praktisch durchgeführt werden? (tatsächlich eine Wissenslücke meinerseits)

PS:
Google wollte eine halbe Ewigkeit in seinen RZs kein UEFI nutzen. Warum wohl? Solchen Müll bekommen nur "consumer" vorgesetzt

Bis sie das Thema selbst angepackt haben.
cloud.google.com

So erzwingt Google die Bootintegrität auf Produktionsmaschinen | Documentation | Google Cloud

Erfahren Sie, wie Google die Bootintegrität auf Produktionsmaschinen in Rechenzentren erzwingt.
cloud.google.com cloud.google.com
cloud.google.com

Titan in depth: Security in plaintext | Google Cloud Blog

cloud.google.com cloud.google.com
 
Zuletzt bearbeitet:
Wenn diese Sicherheitslücke seit 2006 bekannt ist, kommt es drauf an, wer über diese Lücke Bescheid wusste, inwiefern diese an Personen mit böswilligen Absichten durchgesickert ist und natürlich ob auch ab dann bekannt war, wie man diese Sicherheitslücke ausnutzt. Rein von der Theorie könnten alle AMD-Systeme ab 2006 bereits ein Angriffsziel gewesen sein.
 
FM4E schrieb:
Wenn diese Sicherheitslücke seit 2006 bekannt ist, kommt es drauf an, wer über diese Lücke Bescheid wusste, inwiefern diese an Personen mit böswilligen Absichten durchgesickert ist und natürlich ob auch ab dann bekannt war, wie man diese Sicherheitslücke ausnutzt. Rein von der Theorie könnten alle AMD-Systeme ab 2006 bereits ein Angriffsziel gewesen sein.
Zum Vergrößern anklicken....
Vor allem UEFI/Firmware roots sind nichts neues, das heißt wenn gewisse Entitäten nach sowas gesucht haben/hätten wäre die Wahrscheinlichkeit darauf gestoßen zu sein nicht 0. Nur wenn diese Lücken im großen Stil missbraucht würden/offenkundig wäre das entdeckt worden früher oder später.
Ich sag es mal so wenn.

Ich meine Hacker konnten sich in Firewalls von Fortinet einnisten und einen Wipe überleben und waren über Jahren in NATO Büros im Einsatz bis zu ihrer Entdeckung.
 
FM4E schrieb:
Wenn diese Sicherheitslücke seit 2006 bekannt ist, kommt es drauf an, wer über diese Lücke Bescheid wusste, inwiefern diese an Personen mit böswilligen Absichten durchgesickert ist und natürlich ob auch ab dann bekannt war, wie man diese Sicherheitslücke ausnutzt. Rein von der Theorie könnten alle AMD-Systeme ab 2006 bereits ein Angriffsziel gewesen sein.
Zum Vergrößern anklicken....
Da die Sicherheitslücke bis zu den Prozessoren 2006 nutzbar ist, ist es logisch, dass die Sicherheitslücke ab dem Datum 2006 besteht.

Ob es zu den Zeitpunkt bekannt war, weiß niemand.

Es sind schließlich einige Lücken in den CPUs verschiedener Hersteller vorhanden, die noch niemand kennt, wenn die niemand kennt, kann logischerweise die auch niemand nutzen.
Beitrag automatisch zusammengeführt:

UPDATE:
Ihr könnt aber beruht sein, für die CIA, Mossad und Co. seit Ihr nicht wichtig, keine Angst, euch wird es nicht treffen.

Oder doch:unsure:
 
Um Geheimdienste macht sich keiner Sorgen, geht eher um Kriminalität wie erpressen oder systemische Beschädigung aus "Spaß".

Das ist wie mit der Polizei der normale Bürger kann beruhigt sein die werden nicht abgehört, verfolgt oder es dringt keiner einfach in deine Unterkunft ein. Da ist immer zu viel Aluhut unterwegs.
Es besteht immer noch einen Unterschied zwischen können und wollen und müssen.

Nur weil jemand etwas kann heißt es nicht das es auch gemacht wird. Am Bahnhof sind bewaffnete Polizisten unterwegs die haben Waffen. Die erschießen auch nicht einfach random Leute zusammen nur weil sie es könnten.
 
@FirstAid
Das war meine Frage, nur andersrum. Seit wann besteht sie und seit wann ist sie nutzbar... Ermöglicht nur die eine betroffene Komponente eine praktische Ausnutzung oder erst das Zusammenspiel mit/in einer bestimmten Umgebung. Das war die Frage.

Ich kann grad keine klaren Aussagen finden.

n3cron schrieb:
Nur weil jemand etwas kann heißt es nicht das es auch gemacht wird.
Zum Vergrößern anklicken....
Dein Ernst? :ROFLMAO:
 
Wenn das alles so smart ist wie man den Behörden das aus Hollywood unterstellt gäbe es keine Anschläge mehr. Weil man die voraussagen könnte und für einige brauch es nur Menschenverstand.
 
@n3cron
Wenn man alles tut was man kann und nicht nur was man dürfte oder halt müsste, dann ergibt das noch lange keine prinzipielle Korrelation mit "smart" ;)

Bis auf ggf. Minority Report (y)8-)
 
Anmelden, um zu antworten.

Ähnliche Themen

HWL News Bot
AGESA 1.2.0.Ca: AMD schließt Zenbleed-Sicherheitslücke
Antworten
18
Aufrufe
2K
Schugy
S
HWL News Bot
EPYC, Ryzen und Ultrascale: AMD meldet zahlreiche Sicherheitslücken
Antworten
10
Aufrufe
1K
FirstAid
FirstAid
R
[User-Review] Lesertest zur Synology DiskStation DS224+
Antworten
0
Aufrufe
6K
_roman_
R
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh