[Sammelthread] Intel Microcodes patchen - mod BIOS - uCodes Bootloader - OS Patch - Spectre II

Ja wollte das mal mit Powershell testen. Ging gestern jedoch irgendwie nicht, teste ich heute nochmal in Ruhe.

Gibt es überhaupt schon tests mit Spectre 3 und 4?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
The Professor schrieb:
Ja wollte das mal mit Powershell testen. Ging gestern jedoch irgendwie nicht, teste ich heute nochmal in Ruhe.

Gibt es überhaupt schon tests mit Spectre 3 und 4?
Zum Vergrößern anklicken....
habe mich da gerade mal durchgewuschtelt. Das PS script scheint bereits auf die neueren Spectre-Varianten zu testen (z. B. Speculative Store Bypass (Spectre v4). Habe mal mein Ergebnis angehängt. Leider ist der Report alles andere als selbst erklärend ("Hardware: Vulnerable" aber trotzdem "Hardware Support for Mitigation Present: True"). Es scheint aber doch so einiges bereits "mitigiert" zu sein, wenn ich das richtig interpretiere.

Unbenannt.PNG
 
Zuletzt bearbeitet:
Habs gefunden Version vom Juni 2018

Sieht bei mir genauso aus. Scheint es würder der MC wohl noch Protecten

Ivy_20.JPG
 
Zuletzt bearbeitet:
So die MCs sind mittlerweile auch Final bei Intel zu finden. Ist genau der gleiche wie ich bereits eingespielt habe.
@kybernaut: Dein MC aus der Datenbank war genau der selbe, heißt also die Codes werden schon Monate im Vorfeld an OEMs veröffentlich.

Zur Stabilität kann ich nur sagen, der PC läuft deutlich besser und stabiler wie mit dem 1F MC :)
 
Gute Frage und mal schauen wie lange meine IvyBridge noch erhalten bleibt, soll irgendwann mal gegen was aktuelles getauscht werden. Aber aktuell macht sie jedes MC Update ohne Murren mit, OC Stable wie gehabt :)
 
The Professor schrieb:
Gute Frage und mal schauen wie lange meine IvyBridge noch erhalten bleibt, soll irgendwann mal gegen was aktuelles getauscht werden. Aber aktuell macht sie jedes MC Update ohne Murren mit, OC Stable wie gehabt :)
Zum Vergrößern anklicken....

Mein IVB 3570K läuft ebenfalls einwandfrei und in meinem Office/Internet/Multimedia-Rechner habe ich gar nicht wirklich Bedarf für mehr Leistung (spiele eigentlich nur wirklich selten mal ein Game). Die aktuellen Ryzens bzw. dann ZEN 2 würden mich allerdings schon interessieren, naja... aber es besteht ja keine Eile. MC Updates scheinen bei mir auch soweit OK und die Leistungseinbrüche bei AS SSD, die ich im April/Mai noch gesehen hatte, scheinen aktuell wieder behoben.
 
Zuletzt bearbeitet:
So mein Server wurde von X79 auf C612 mit E5 v4 XEON umgerüstet. Da gab es netterweise ein BIOS Update von ASUS, so musste ich nicht selber Hand anlegen. Ist allerdings noch nicht das Aktuellste.

Im Moment hier für Plattform ID 000406F1 uCU B00002A, noch aktueller wäre dann wohl uCU B00002E.

Da warte ich aber, bis ASUS oder vmware was nachliefert. Für das ASUS Z10PA-U8, BIOS Version 3703 vom 2018/06/06.

Dachte immer, ASUS hat nen miesen Support. Aber die aktuelleren Server Boards scheinen sie zu pflegen.

inSpectre.PNG
 
Hallo Zusammen,

@all Nochmals Danke für die Unterstützung.

Gibt es schon Tools die Checken ob die neusten Lücken geschlossen sind? Und ich habe die neue Micro-Liste Paper gefunden von August, aber welche Lücken damit abgedeckt sind weiß ich leider nicht ;(

Würde gerne wissen ob ich jetzt meine Computer mit neuen ModBIOS wieder versorgen kann.?

Danke


....wird alles mehr und mehr unüberschaubar ...hmm
 
Rentrix schrieb:
....wird alles mehr und mehr unüberschaubar ...hmm
Zum Vergrößern anklicken....

Hi

Vor allem wird nicht mehr viel darüber berichtet in der deutschen Presse. Die meisten scheinen sich an den Umstand gewöhnt zu haben, und leben mit älteren oder ohne uCodes.

Von daher bin ich recht froh um den Thread hier. Ihr dürft gerne fleissig weitere Infos posten. Danke an Alle!

Rentrix schrieb:
Gibt es schon Tools die Checken ob die neusten Lücken geschlossen sind?
Zum Vergrößern anklicken....

Würd mich auch interessieren. Mehr Infos zum Powershell Script wären auch interessant. Wobei mir ein zuverlässiges Tool a la InSpectre lieber wäre, da das mit dem PS Script immer viel Aufwand erfodert an den ganzen Windows 7 Systemen. Und der Grossteil meiner Windows VM's läuft auf Win 7. Für Win 8.1 und 10 hingegen verwende auch ich das Powershell Script.
 
Wenn man einen halbwegs aktuellen Linux Kernel hat, kann man ja direkt nachschauen, ob die Kernel Entwickler die verwendete CPU für verwundbar halten.
Hier mal ne Ausgabe vom 4.17.15 Kernel mit einer Ryzen 5 2400g.
Code: 
grep .  /sys/devices/system/cpu/vulnerabilities/*
/sys/devices/system/cpu/vulnerabilities/l1tf:Not affected
/sys/devices/system/cpu/vulnerabilities/meltdown:Not affected
/sys/devices/system/cpu/vulnerabilities/spec_store_bypass:Mitigation: Speculative Store Bypass disabled via prctl and seccomp
/sys/devices/system/cpu/vulnerabilities/spectre_v1:Mitigation: __user pointer sanitization
/sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Full AMD retpoline, IBPB
Interessant dass Full AMD retpoline nicht mehr ausreicht und durch IBPB ergänzt wird. Das hab ich verpasst. Der Rest ist klar.
 
Das Problem ist ja, dass die schiere Anzahl an Spectre-Varianten kaum zu überblicken ist. Vor ein paar Tagen wurden Details zur sogenannten Foreshadow-Attacke veröffentlicht (CVE-2018-3615). Darüber wurde schon vor einiger Zeit berichtet, hier geht es in erster Linie um VMs und Angriffe zwischen diesen. Diese Lücke soll aber in den aktuell verfügbaren uCodes bereits geschlossen sein.

Weiteres dazu hier:
https://foreshadowattack.eu

Heise hat unter folgendem Link zudem eine Liste aller bisher bekannten Meltdown- und Spectre-Lücken gelistet:
https://www.heise.de/security/meldung/Spectre-NG-Foreshadow-gefaehrdet-Intel-Prozessoren-4137209.html

Was das Powershell-Script anbelangt, wird dieses offensichtlich dauernd aktualisiert. Als ich das vor ein paar Wochen auf meinem Windows 10-System aktiviert hatte, wurde da aus der Shell heraus etwas runtergeladen. Habe es seitdem nicht mehr benutzt. Frage mich nun, ob man immer automatisch das aktuellste Script hat oder ob man dafür irgendwas tun muss...
 
Zuletzt bearbeitet:
@kybernaut
CVE-2018-3615 geht auf Intel SGX (Software Guard Extensions) (das ist ab Skylake drin. Die alten Modelle sollten davon aber absolut gar nicht betroffen sein)

Was du meinst sind CVE-2018-3620 und vor allem auch CVE-2018-3646 -> ebenfalls seit letzter Woche öffentlich.
Letzteres ist ein ziemlich bescheidenes Kaliber. VMware empfiehlt bspw. entgegen anderer Aussagen nicht die Abschaltung von SMT. Aber durch aktivieren des Schutzes wird bei jedem Wechsel der L1 Cache geleert und neu geladen. Soll wohl im Schnitt 15-50% Performanceimpact haben. Echte Werte kann ich dazu noch nicht beisteuern - ich teste im Moment wie der Impact in meinen Umgebungen ausfällt. Es ist aber definitiv sportlich.
 
AliManali schrieb:
Hi

Vor allem wird nicht mehr viel darüber berichtet in der deutschen Presse. Die meisten scheinen sich an den Umstand gewöhnt zu haben, und leben mit älteren oder ohne uCodes.

Von daher bin ich recht froh um den Thread hier. Ihr dürft gerne fleissig weitere Infos posten. Danke an Alle!
Zum Vergrößern anklicken....

Jep unglaublich das es auf einmal kein Problem mehr ist mit den ganzen Sicherheitslücken, auch ein Grund warum keinen neuen Gaming PC gekauft habe oder Office PC wer weiß was da alles noch kommt und wie schlimm das ist in ein paar Jahren mit meinen alten Systemen.

Ich habe den Kompletten überblick verloren was ich jetzt alles an Modbios selber machen muss o_O

Für Infos und zusammenfassung wäre ich dankbar was man jetzt Konkret machen kann.

Intel hat ja jetzt am xx.08.2018 neue Microcodes raus gebracht....... ich warte ab was so kommt eventuell mache ich einen eigen Thread auf, um überhaupt zu raffen was ich alles machen muss.
 
Rentrix schrieb:
Für Infos und zusammenfassung wäre ich dankbar was man jetzt Konkret machen kann.

Intel hat ja jetzt am xx.08.2018 neue Microcodes raus gebracht....... ich warte ab was so kommt eventuell mache ich einen eigen Thread auf, um überhaupt zu raffen was ich alles machen muss.
Zum Vergrößern anklicken....

Hast Du echt noch Nehalem? War das nicht unsupported?

Edit: ja nein, ist dann ein Westmere

Wenn Du schon ein Mod BIOS mit 0x1E hast, brauchst Du wohl neu eins mit 0x1F

Ich für meinen Teil habe im Moment anderes auf dem Schirm. Mit alter Hardware wirst Du am Ball bleiben müssen. Bitte hier im Thread!
 
AliManali schrieb:
Hast Du echt noch Nehalem? War das nicht unsupported?

Edit: ja nein, ist dann ein Westmere

Wenn Du schon ein Mod BIOS mit 0x1E hast, brauchst Du wohl neu eins mit 0x1F

Ich für meinen Teil habe im Moment anderes auf dem Schirm. Mit alter Hardware wirst Du am Ball bleiben müssen. Bitte hier im Thread!
Zum Vergrößern anklicken....

Habe ja drei Systeme

Werde noch was warten was so geht

Habe ja nur noch alte Systeme

einen Xeon X5660 ?
einen Haswell i5 ?
einen Sandy i5 2400 ?

Das Haswellsystem ist Kacke zum BIOS Upgrade (da ich eine Spezielle Asus BIOS Upgradsoftware Brauche wo ich mit sehr sher sher sher viel Glück und Trickes ein ModBIOS Aufspielen kann)
Der alte Xeon X5660 ist echt einfach ein Gigabyte Board mit Dual BIOS
Der Sandy ist auch ne Zicke (Asus Board)

Würde mir ein neues Tool.exe Wünschen wo man als "habe-keinen-Plan-was-powershell-sagt" einfach erkennen kann ob alle Lücken geschlossen sind.

*Edit*
was ich vergessen habe ist das ich es nicht schaffe die PowerShell Funktion ans starten zu bekommen? Ich weiß nicht sio genau aber der Läd an zweiten oder dritten Punkt das ganze nicht mehr Durch?
 
Zuletzt bearbeitet:
Das PowerShell Script von Microsoft ist echt ein "Schmerz-im-Nacken" -- sowohl was die Bedienung als auch die Interpretation der Ergebnisse anbelangt :wall:

Habe mich gerade nochmal durch Microsofts brillante Support-Seite zum Thema durchgewühlt:
https://support.microsoft.com/de-de/help/4073119/protect-against-speculative-execution-side-channel-vulnerabilities-in
Abschnitt "PowerShell-Überprüfung mithilfe des PowerShell-Katalogs (Windows Server 2016 oder WMF 5.0/5.1)"

Beim Aufrufen des Befehls "Install-Module SpeculationControl" wurde ich darauf aufmerksam gemacht, dass eine neuere Version des Scripts existiert (v1.0.10) und dass ich den Befehl bitte erneut mit dem Parameter "-Force" aufrufen solle, um alte und neue Version parallel zu installieren. Gesagt, getan... danach musste ich wieder die Security Policy lockern mit "Set-ExecutionPolicy RemoteSigned -Scope Currentuser" und das Modul anschließend "importieren" mit "Import-Module SpeculationControl".

Erst dann (!) geht es ans eigentliche Ausführen mittels "Get-SpeculationControlSettings".

Das Ergebnis habe ich unten angehängt. Man sieht, dass F1 Terminal Fault aka. Foreshadow nun ebenfalls abgeprüft wird und wie erwartet mit dem neusten uCode auch bereits mitigiert ist.


VG
kybernaut_01

PS_Script_23-August.png

- - - Updated - - -

Rentrix schrieb:
Für Infos und zusammenfassung wäre ich dankbar was man jetzt Konkret machen kann.
Zum Vergrößern anklicken....

Eigentlich läuft es nur darauf hinaus, die neusten Windows-10-Updates zu installieren und deinen CPU-Microcode upzudaten...
Wenn es darum geht festzustellen, vor was man bereits geschützt ist, geht derzeit soweit ich weiß kein Weg an Microsofts PowerShell Script vorbei. Allerdings ist da aktuell immer noch einiges ungepatcht, wenn man sich die lange Liste der "Next-Generation" Lücken anschaut (Heise Link).
 
kybernaut schrieb:
Beim Aufrufen des Befehls "Install-Module SpeculationControl" wurde ich darauf aufmerksam gemacht, dass eine neuere Version des Scripts existiert (v1.0.10) und dass ich den Befehl bitte erneut mit dem Parameter "-Force" aufrufen solle, um alte und neue Version parallel zu installieren. Gesagt, getan... danach musste ich wieder die Security Policy lockern mit "Set-ExecutionPolicy RemoteSigned -Scope Currentuser" und das Modul anschließend "importieren" mit "Import-Module SpeculationControl".
Zum Vergrößern anklicken....
Die ExecutionPolicy sollte normal die Einstellung behalten. Sprich neu setzen ist da eigentlich nicht notwendig. Das Neu Importieren des Scripts ist allerdings logisch, weil du ja die alte Version offenbar schon geladen hast -> der Import lädt den Spaß dann neu.

Was mich wundert ist, warum MS nicht einfach das Script signiert und gut ist...

kybernaut schrieb:
Eigentlich läuft es nur darauf hinaus, die neusten Windows-10-Updates zu installieren und deinen CPU-Microcode upzudaten...
Wenn es darum geht festzustellen, vor was man bereits geschützt ist, geht derzeit soweit ich weiß kein Weg an Microsofts PowerShell Script vorbei. Allerdings ist da aktuell immer noch einiges ungepatcht, wenn man sich die lange Liste der "Next-Generation" Lücken anschaut (Heise Link).
Zum Vergrößern anklicken....

Das ist halt nur die halbe Wahrheit. Was vielerorts nicht erzählt wird und vor allem, was schlicht idR falsch in den Köpfen ankommt. Die Microcode Updates fixen in weiten Teilen absolut NICHTS. Diese Updates stellen CPU Befehle bereit, teils funktionen, teils wird auch aktiv was verhindert. Mehr aber auch nicht.
Der eigentliche Schutz passiert in Software -> im Falle von Microsoft ist das eben, dass Microsoft durch Anpassung am Code IHRER! Binarys in Teilen dafür sorgt, dass da nix abgreifbar ist oder angreifbar ist. Da aber nicht ausschließlich Microsoft Stuff auf euren PCs laufen wird (ich denke da in erster Linie an Treiber bspw.) werden viel Wege zum Ziel gar nicht gefixt geschweige denn überhaupt genannt.
Das gleiche passiert in Software, die da drauf tuckert... Software A) kann gefixt sein (bspw. ein Browser durch imlementation von Fixes) - Software B) aber anfällig und schon fingert der Schadcode darüber Daten ab.


Man muss allerdings auch bisschen die Kirche im Dorf lassen. VMs im Serverumfeld sind hässlich, was das Thema hier angeht. Hier sollte getrennt werden, kein Misch betrieb mehr, VM-Typen nur noch gruppieren, die auch zusammen laufen können usw. Möglichst Public/DMZ VMs physisch von interenen VMs trennen. Kunden VMs untereinander abkapseln usw.
-> aber privat mit ner Install direkt in Hardware? Da wo die Masse der (Windows) User so oder so als Admin unterwegs ist oder sich sonstwelches Zeug auf den PC schmeißt dürften die Angriffsvektoren über diesen Kanal nicht anders/besser/höher sein als bei sonst allen anderen potentiellen Lücken auch...

Rentrix schrieb:
Würde mir ein neues Tool.exe Wünschen wo man als "habe-keinen-Plan-was-powershell-sagt" einfach erkennen kann ob alle Lücken geschlossen sind.
Zum Vergrößern anklicken....

Der Witz an der Thematik ist, genau durch solch Unwissenheit passiert wahrscheinlich der meiste Schaden. Es gab ja schon Spectre-Test-Tools mit komischem Verhalten und dem Verdacht auf Schadcode.
-> eben WEIL die User sich nicht auskennen sind nicht mehr nachvollziehbare Binarys eigentlich nicht die Richtige Wahl, sondern das Powershell Script, was jeder einsehen und klar nachvollziehen kann -> im Zweifel holt er sich Hilfe beim "verstehen".
 
fdsonne schrieb:
Das ist halt nur die halbe Wahrheit. Was vielerorts nicht erzählt wird und vor allem, was schlicht idR falsch in den Köpfen ankommt. Die Microcode Updates fixen in weiten Teilen absolut NICHTS. Diese Updates stellen CPU Befehle bereit, teils funktionen, teils wird auch aktiv was verhindert. Mehr aber auch nicht.
Zum Vergrößern anklicken....
ja, wichtiger Punkt. Software ist natürlich mal primär das Betriebssystem und dann halt der Webbrowser. Bei weiterer Software ist es dann schon nicht mehr so klar, wer sich da wie drum kümmert oder eben auch nicht. Aber für Privatanwender ist es aktuell dennoch wenig kritisch, aus den von dir genannten Gründen.

fdsonne schrieb:
-> im Zweifel holt er sich Hilfe beim "verstehen".
Zum Vergrößern anklicken....

Unbedingt, und ich fasse mich gerade an die eigene Nase, dass ich heute zum ersten mal die von Microsoft angegebene Erklärseite aufgerufen habe. Da wird eigentlich jede einzelne Zeile erläutert:

https://support.microsoft.com/en-us/help/4074629/understanding-the-output-of-get-speculationcontrolsettings-powershell
(absichtlich die englische Fassung verlinkt, da die deutsche teils maschinell übersetzt ist und damit noch zusätzlich mühsam zu lesen ist)
 
Zuletzt bearbeitet:
Auch wenn es diesen Patch gibt: https://support.microsoft.com/en-us/help/4090007/intel-microcode-updates
Ich bleibe bei der USB Stick Methode (Denn die Spectre fixed MC machen teilweise Stress bei meinem Audio Interface/Gitarrenkram).

Habe diese mit dem "neusten" MC probiert, es gibt zwar kein *dat File mehr aber klappt dennoch. Ich habe mir Scripte geschrieben, zum Wechselm zwischen dem März MC und dem aktuellen.MC_Switch.jpg
 
Also die rote und grüne Schrift hätten die bei dem neuen Powershell Check ruhig übernehmen können. Naja so schauts aus:

Haswell Win 10 mit Microcode 24:

Speculation control settings for CVE-2018-3639 [speculative store bypass]

Hardware is vulnerable to speculative store bypass: True
Hardware support for speculative store bypass disable is present: False
Windows OS support for speculative store bypass disable is present: True
Windows OS support for speculative store bypass disable is enabled system-wide: False

Haswell Win 10 mit Microcode 25:

Speculation control settings for CVE-2018-3639 [speculative store bypass]

Hardware is vulnerable to speculative store bypass: True
Hardware support for speculative store bypass disable is present: True
Windows OS support for speculative store bypass disable is present: True
Windows OS support for speculative store bypass disable is enabled system-wide: False

Was mich nur jetzt wundert: "Windows OS support for speculative store bypass disable is enabled system-wide: False"


Bevor ich da jetzt an der Reg rumschraube, lese ich mich lieber nochmal in das Thema ein oder warte ab.
 
Zuletzt bearbeitet:
Habe mir Scripte geschrieben, um auf meinem Multiboot WIn7 den Reg Part mit Speculative Store Bypass Disable Ein/Aus zu schalten. Aus historischen Gründen, läuft meine WMare Workstation (Damals bei VCP Zert dazu bekommen), unter Win7.
Hatten keinen Bock, nachzulesen. Habs da einfach aktiviert, da dort (Win 7) kaum noch was läuft und das OS auf sein Ableben zum Support Ende wartet. Stelle keine Perfomace Einbussen fest in den VMs.
 
Zuletzt bearbeitet:
Moin,

habe mich in das ganze mal reingearbeitet, da ich ein Rechner hier habe mit einem "Intel Celeron G1610T" und als Mainboard "Intel DH61AGL". Nun kommen die Probleme mit den Microcodes.

uCodes Update via EFI scheint nicht zu klappen, da UBU Intel Board nicht unterstützt und die gepatchte Version von mmtool auch die Bios Images nicht unterstütz (Fehlermeldung: "The input image is not Aptio V.") - BIOS ist "AMI Aptio 4"

mit Bios BITS habe ich eben so Probleme, dass es via MBR/Legacy Boot nicht hoch kommt.
habe den Stick via Linux, als auch Windows erstellt. das Problem ist hier, dass es via EFI Bootet, jedoch läuft dort mcu_load/status nicht. beim MBR bekomme ich nicht mal eine Ausgabe, sprich wenn vom Stick gebootet wird, bleibt der Monitor schwarz.
 
Intel Microcode-updates (KB4465065) ist installiert, sieht dann so aus, dass man auf M$ wenn warten muss, da 1809 nur für ab Skylake aktuell ist.

im KB4100347 für 1803 sind alle soweit drin.
 
Wegen einem anderen Problem mal das BIOS auf dem ASRock Z170 Extreme6 aktualisiert und damit zwangsläufig den Spectre-Schutz inklusive. Die Performance bricht unter Windows 7 gut ein.
Zeigt sich auch bei CB15, CDI und dem FF Bloodstorm Benchmark. Mit dem Tool InSpectre wurde der Spectre-Schutz an bzw. ausgeschaltet.

Der Benchmark unterliegt zwar auch kleinen Schwankungen, aber die Unterschiede sind trotzdem reproduzierbar und nicht gerade unerheblich.
[url=https://abload.de/image.php?img=spectreq5fpl.png][/URL]


Beispiel CDI:
[url=https://abload.de/image.php?img=soffktcr0.png][/URL] [url=https://abload.de/image.php?img=son59fsp.png][/URL]


Kann man Spectre auch wieder aus dem BIOS "rauspatchen"? :bigok:
 
Hab ein ASUS P8Z77-V Pro mit 3770k aktuell stock UEFI mit Version 1F

Laut UBU_v1.73.2 cpu306A9_plat12_ver00000021_2019-02-13_PRD_A8DF9213.bin

Man findet aber nichts offizielles zu V21 nur V20 und die ist ja von August 2018.
 
Fragt sich, ob Du ein BIOS Update überhaupt benötigst. Bei winzigweich und den meisten Linux bekommst Du den benötigten uCode ja via OS.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh