AGESA-Updates gegen Sinkclose-Lücke: Wichtige Updates für AMD Ryzen und Epyc in der Übersicht

Thread Starter
Mitglied seit
06.03.2017
Beiträge
113.945
Zahlreiche AMD-Systeme sind von der Sinkclose-Sicherheitslücke betroffen, die bereits seit dem Jahr 2006 existieren soll und im vergangenen Jahr an AMD übermittelt wurde. Publik wurde diese Sicherheitslücke letzten Monat, um AMD genügend Zeit zu geben, um diese als hoch eingestufte Sicherheitslücke mit der registrierten Nummer CVE-2023-31315 zu schließen. Stand jetzt gibt es für die zahlreichen AMD-Systeme entsprechende AGESA-Updates, die diese Sicherheitslücke schließt. Betroffene Anwender sollten daher zeitnah das BIOS-Update mit der aktualisierten AGESA-Version installieren. In dieser News sorgen wir für eine bessere Übersicht über die betroffenen Prozessoren und die AGESA-Versionen.
... weiterlesen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Das habe ich noch mit ergänzt. Danke!
 
Ein Hauptproblem ist wie immer, dass es keine normalen Testmöglichkeiten gibt. Am Ende wurden bereits etliche CPUs kompromittiert und die malware schlummert bis zum Einsatz vor sich hin.
So schnell geht es nicht. Am 11.08.2024 wurde die Sicherheitslücke Weltweit bekannt gemacht, davor,

also am 30.07.2024 wurden die AGESAs gegen Sinkclose ausgeliefert, für Ryzen 3000 Serie am 16.08.2024.

Gigabyte hat am 23.08.2024 die ersten BETAs ausgeliefert, die die Sicherheitslücke Sinkclose eliminierte.

Das Heiß: Die ganzen bösen Hacker hatten gerade mal 12 Tage Zeit die Funktionsweise der Sicherheitslücke zu verstehen,

und entsprechend Tools zu entwickeln.

Die Kisten, die mit Sinkclose infiziert werden, kommen erst noch. :giggle::LOL::ROFLMAO:Schauen wir mal.
 
Dass es erst im August 2024 einer "ahnungslosen" Öffentlichkeit bekannt gemacht wurde, heisst noch lange nicht, dass die Hacker es nicht vorher wussten.
Sinkclose existiert seit 2006
 
Steht auch so in der News. ;)
 
Das Heiß: Die ganzen bösen Hacker hatten gerade mal 12 Tage Zeit die Funktionsweise der Sicherheitslücke zu verstehen,
Also AMD selbst wurde Beispielsweise im Oktober 2023 über die Lücke informiert und entdeckt wurde das ganze noch früher. Sind also definitiv mehr als 12 Tage vor allem wenn das Problem schon seit 2006 besteht.
 
Also AMD selbst wurde Beispielsweise im Oktober 2023 über die Lücke informiert und entdeckt wurde das ganze noch früher. Sind also definitiv mehr als 12 Tage vor allem wenn das Problem schon seit 2006 besteht.
Bitte besser lesen. Ich habe geschrieben:

Am 11.08.2024 wurde die Sicherheitslücke Weltweit bekannt gemacht

Entdeck wurde die Lücke wohl im Oktober 2023, die Entdecker wussten seit Oktober 2023 von der Lücke.

Was der sogenannter @mahrhofer schreibt ist nichts anderes als pure Spekulation.

Genau weiß es keiner, ob gewisse Geheimdienste diese Lücke bekannt war.

Der @mahrhofer tut so, als ob jede Lücke, die bekannt gemacht wird, schon lange bekannt sei. ALU-Hut und so....
Beitrag automatisch zusammengeführt:

Erstmal muss man die Lücke verstehen, um sie auch nutzen zu können, danach werden die Tools entwickelt.

Besonders bei dieser sehr schwierig auszunutzende Lücke.
 
Zuletzt bearbeitet:
Entdeck wurde die Lücke wohl im Oktober 2023, die Entdecker wussten seit Oktober 2023 von der Lücke.
Im Oktober wurde AMD informiert entdeckt wurde das ganze aber schon früher.
Die beiden bei IOActive tätigen Sicherheitsforscher haben diese auch als Sinkclose bezeichnete Sicherheitslücke schon vor Jahren aufgedeckt.
 
Erster Absatz und gleich der erste Satz aus der News:

"Zahlreiche AMD-Systeme sind von der Sinkclose-Sicherheitslücke betroffen, die bereits seit dem Jahr 2006 existieren soll und im vergangenen Jahr an AMD übermittelt wurde."
 
Das Problem an der Sache ist, dass ein kompletter BIOS-Reset mittels Clear-CMOS oder auch die Neuinstallation des Betriebssystems keine Abhilfe schaffen. Dieser schadhafte Code ist dauerhaft existent, was demnach bedeutet, dass der betroffene Anwender den Unterbau entsorgen kann beziehungsweise sollte.

Wenn man die AGESA per USB Stick neu installiert, sollte auch die Malware weg sein. Ein CLR-CMOS hilft nicht aber ein überschreiben der AGESA mit der gleichen Version per USB Stick und reFlash Button auf der Rückseite des Mainboards sollte schon helfen. Schließlich wird dann auch der Speicher des SMU überschrieben, mit dem original UEFI ohne Virus.

Ab AGESA 1.2.0.0a läuft mein RAM nicht mehr ohne Fehler! Mit Agesa 1.1.7.0 läuft alles ohne Probleme. Ein Update ist für mich fast unmöglich.

Wie man sich den Virus einfangen kann, wird sehr abstrakt dargestellt. Vereinfacht gesagt, wer ne Spiel-Raubkopie installiert und die dann mit Adminrechten ausführt, kann betroffen sein! Gecrackte Spiele, sind fast alle nach der Installation mit Adminrechten versehen. Deshalb: immer Finger weg von "umsonst" Software!

Um sich selber besser zu schützen, sollte man unter W10/11 ein Admin Kennwort setzen!

1726154693837.png



Update: Thema VALORANT - Anticheat Software mit RING 0 Zugriff !

Wenn man Valorant installiert, installiert man gleichzeitig den Anti Cheat namens Vanguard. Dieser erzwingt Kernel Zugriff. Abgesehen von der gigantischen Sicherheitslücke die man sich da ins Haus holt...
 
Zuletzt bearbeitet:
Wenn man die AGESA per USB Stick neu installiert, sollte auch die Malware weg sein. Ein CLR-CMOS hilft nicht aber ein überschreiben der AGESA mit der gleichen Version per USB Stick und reFlash Button auf der Rückseite des Mainboards sollte schon helfen. Schließlich wird dann auch der Speicher des SMU überschrieben, mit dem original UEFI ohne Virus.

Ab AGESA 1.2.0.0a läuft mein RAM nicht mehr ohne Fehler! Mit Agesa 1.1.7.0 läuft alles ohne Probleme. Ein Update ist für mich fast unmöglich.

Wie man sich den Virus einfangen kann, wird sehr abstrakt dargestellt. Vereinfacht gesagt, wer ne Spiel-Raubkopie installiert und die dann mit Adminrechten ausführt, kann betroffen sein! Gecrackte Spiele, sind fast alle nach der Installation mit Adminrechten versehen. Deshalb: immer Finger weg von "umsonst" Software!

Um sich selber besser zu schützen, sollte man unter W10/11 ein Admin Kennwort setzen!

Anhang anzeigen 1026675
Also nach aktuell Stand der Kenntnis reicht ein Bios flash nicht aus um ein potentiellen Schädling/Infektion zu entfernen.
 
Also nach aktuell Stand der Kenntnis reicht ein Bios flash nicht aus um ein potentiellen Schädling/Infektion zu entfernen.

BIOS Reflash und M.2 Erase mit dem UEFI und dann Windows neu installieren?

Ich denke man ist bei einem infiziertem System in einer Dauerschleife, die man kaum durchbrechen kann!
SMU infiziert das Windows. Windows infiziert die SMU.
 
BIOS Reflash und M.2 Erase mit dem UEFI und dann Windows neu installieren?

Ich denke man ist bei einem infiziertem System in einer Dauerschleife, die man kaum durchbrechen kann!
SMU infiziert das Windows. Windows infiziert die SMU.
So in etwa.
 
Update: Thema VALORANT - Anticheat Software mit RING 0 Zugriff !
Da braucht man nur ZenTimings nutzen. Da wird permanent ein IO-Treiber Installiert der Ring0 Zugriff ohne Admin Rechte ermöglicht.

Bin mir aber nicht sicher ob das mittlerweile behoben wurde aber im Frühjahr war das zumindest noch der Fall.

 
Entspannt euch. Das ist nicht die erste und nicht die letzte Bankrotterklärung von UEFI :asthanos: Was zu erwarten war, denn eigemtlich wurde es unter der Federführung von Mickeysoft durchgepeitscht.

Wegen der Sicherheit. Die kennen sich mit sowas aus :fresse2:
 
Zusammenhang zu UEFI? SMM wurde 1990 von Intel mit dem 386er eingeführt. BIOS/UEFI egal.

Das habe ich noch mit ergänzt. Danke!
Weist du ob AMD bei einem AGESA Update die betreffenen EInheiten in der CPU "nicht einfach" auf Manipulation prüfen und bei festgestellten Veränderungen das Update z.B. mit Hinweismeldung verweigern oder zumindest eben eine Warnung ausgeben könnte?
Bei solch tiefgreifenden Lücken fehlt irgendwie jedes Mal aufs Neue eine Überprüfung, ob denn ein System schon kompromittiert ist.


@Bladee:
Wenn ich es noch richtig in Erinnerung habe, geht eine Entfernung nur (theoretisch) mit rumgelöte und direktem SMPI Zugriff. Selbst die aktuellen Entdecker meinten, es sei einfacher seine Hardware weg zu werfen.

EDIT:

Only opening a computer's case, physically connecting directly to a certain portion of its memory chips with a hardware-based programming tool known as SPI Flash programmer and meticulously scouring the memory would allow the malware to be removed, Okupski says.
 
Zuletzt bearbeitet:
Weist du ob AMD bei einem AGESA Update die betreffenen EInheiten in der CPU "nicht einfach" auf Manipulation prüfen und bei festgestellten Veränderungen das Update z.B. mit Hinweismeldung verweigern oder zumindest eben eine Warnung ausgeben könnte?
Bei solch tiefgreifenden Lücken fehlt irgendwie jedes Mal aufs Neue eine Überprüfung, ob denn ein System schon kompromittiert ist.
Mir ist bisher nichts dazu bekannt und generell dürfte es schwierig sein, dies zu überprüfen bzw. umzusetzen. Ein Windows-Tool erhält berechtigt (normalerweise) keinen Zugriff auf die SMM-Ebene. Von daher wüsste ich nicht, wie man dies überprüfen könnte.
 
Mir ist bisher nichts dazu bekannt und generell dürfte es schwierig sein, dies zu überprüfen bzw. umzusetzen. Ein Windows-Tool erhält berechtigt (normalerweise) keinen Zugriff auf die SMM-Ebene. Von daher wüsste ich nicht, wie man dies überprüfen könnte.
Genau das hab ich auch gelesen das keine security software der Welt in der Lage wäre so tief zu schauen. Vor allem müsste m auch wissen nach was man suchen muss, damit fängt es schon mal an.

Man müsste einen exploit nutzen um einen exploit festzustellen oder so ähnlich.
 
Ja, das kann man so festhalten.
 
Mir ist bisher nichts dazu bekannt und generell dürfte es schwierig sein, dies zu überprüfen bzw. umzusetzen. Ein Windows-Tool erhält berechtigt (normalerweise) keinen Zugriff auf die SMM-Ebene. Von daher wüsste ich nicht, wie man dies überprüfen könnte.
Ich fragte mich einfach ob dies für AMD nicht im Zuge vom UEFI Updates möglich sei, also beim Updatevorgang, nicht aus dem OS heraus. Mag naiv sein, aber quasi ein Abgleich der Bereiche wie bei einem dif.
Der "Soll-Zustand" ist ja bekannt.
 
Ja, das wäre interessant. Ich kann morgen mal bei AMD eine Anfrage stellen. Ob ich eine Antwort erhalte, ist natürlich unklar.
 
Zusammenhang zu UEFI? SMM wurde 1990 von Intel mit dem 386er eingeführt. BIOS/UEFI egal.
D.h. da die Lücke seit etwa 2006 durchgeschleppt wird, man das auch auf einem Brett mit Athlon 64 X2 (Brisbane) machen könnte? Ist das soweit bestätigt, daß es durchführbar ist oder existiert der Fehler nur seit 2006 und kann seit 2010 praktisch durchgeführt werden? (tatsächlich eine Wissenslücke meinerseits)

PS:
Google wollte eine halbe Ewigkeit in seinen RZs kein UEFI nutzen. Warum wohl? Solchen Müll bekommen nur "consumer" vorgesetzt

Bis sie das Thema selbst angepackt haben.
 
Zuletzt bearbeitet:
Wenn diese Sicherheitslücke seit 2006 bekannt ist, kommt es drauf an, wer über diese Lücke Bescheid wusste, inwiefern diese an Personen mit böswilligen Absichten durchgesickert ist und natürlich ob auch ab dann bekannt war, wie man diese Sicherheitslücke ausnutzt. Rein von der Theorie könnten alle AMD-Systeme ab 2006 bereits ein Angriffsziel gewesen sein.
 
Wenn diese Sicherheitslücke seit 2006 bekannt ist, kommt es drauf an, wer über diese Lücke Bescheid wusste, inwiefern diese an Personen mit böswilligen Absichten durchgesickert ist und natürlich ob auch ab dann bekannt war, wie man diese Sicherheitslücke ausnutzt. Rein von der Theorie könnten alle AMD-Systeme ab 2006 bereits ein Angriffsziel gewesen sein.
Vor allem UEFI/Firmware roots sind nichts neues, das heißt wenn gewisse Entitäten nach sowas gesucht haben/hätten wäre die Wahrscheinlichkeit darauf gestoßen zu sein nicht 0. Nur wenn diese Lücken im großen Stil missbraucht würden/offenkundig wäre das entdeckt worden früher oder später.
Ich sag es mal so wenn.

Ich meine Hacker konnten sich in Firewalls von Fortinet einnisten und einen Wipe überleben und waren über Jahren in NATO Büros im Einsatz bis zu ihrer Entdeckung.
 
Wenn diese Sicherheitslücke seit 2006 bekannt ist, kommt es drauf an, wer über diese Lücke Bescheid wusste, inwiefern diese an Personen mit böswilligen Absichten durchgesickert ist und natürlich ob auch ab dann bekannt war, wie man diese Sicherheitslücke ausnutzt. Rein von der Theorie könnten alle AMD-Systeme ab 2006 bereits ein Angriffsziel gewesen sein.
Da die Sicherheitslücke bis zu den Prozessoren 2006 nutzbar ist, ist es logisch, dass die Sicherheitslücke ab dem Datum 2006 besteht.

Ob es zu den Zeitpunkt bekannt war, weiß niemand.


Es sind schließlich einige Lücken in den CPUs verschiedener Hersteller vorhanden, die noch niemand kennt, wenn die niemand kennt, kann logischerweise die auch niemand nutzen.
Beitrag automatisch zusammengeführt:

UPDATE:
Ihr könnt aber beruht sein, für die CIA, Mossad und Co. seit Ihr nicht wichtig, keine Angst, euch wird es nicht treffen.

Oder doch:unsure:
 
Um Geheimdienste macht sich keiner Sorgen, geht eher um Kriminalität wie erpressen oder systemische Beschädigung aus "Spaß".

Das ist wie mit der Polizei der normale Bürger kann beruhigt sein die werden nicht abgehört, verfolgt oder es dringt keiner einfach in deine Unterkunft ein. Da ist immer zu viel Aluhut unterwegs.
Es besteht immer noch einen Unterschied zwischen können und wollen und müssen.

Nur weil jemand etwas kann heißt es nicht das es auch gemacht wird. Am Bahnhof sind bewaffnete Polizisten unterwegs die haben Waffen. Die erschießen auch nicht einfach random Leute zusammen nur weil sie es könnten.
 
@FirstAid
Das war meine Frage, nur andersrum. Seit wann besteht sie und seit wann ist sie nutzbar... Ermöglicht nur die eine betroffene Komponente eine praktische Ausnutzung oder erst das Zusammenspiel mit/in einer bestimmten Umgebung. Das war die Frage.

Ich kann grad keine klaren Aussagen finden.

Nur weil jemand etwas kann heißt es nicht das es auch gemacht wird.
Dein Ernst? :ROFLMAO:
 
Wenn das alles so smart ist wie man den Behörden das aus Hollywood unterstellt gäbe es keine Anschläge mehr. Weil man die voraussagen könnte und für einige brauch es nur Menschenverstand.
 
@n3cron
Wenn man alles tut was man kann und nicht nur was man dürfte oder halt müsste, dann ergibt das noch lange keine prinzipielle Korrelation mit "smart" ;)

Bis auf ggf. Minority Report (y)8-)
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh