NEWS

AGESA-Updates gegen Sinkclose-Lücke

Wichtige Updates für AMD Ryzen und Epyc in der Übersicht

Portrait des Authors


Wichtige Updates für AMD Ryzen und Epyc in der Übersicht
68

Werbung

Zahlreiche AMD-Systeme sind von der Sinkclose-Sicherheitslücke betroffen, die bereits seit dem Jahr 2006 existieren soll und im vergangenen Jahr an AMD übermittelt wurde. Publik wurde diese Sicherheitslücke letzten Monat, um AMD genügend Zeit zu geben, um diese als hoch eingestufte Sicherheitslücke mit der registrierten Nummer CVE-2023-31315 zu schließen. Stand jetzt gibt es für die zahlreichen AMD-Systeme entsprechende AGESA-Updates, die diese Sicherheitslücke schließt. Betroffene Anwender sollten daher zeitnah das BIOS-Update mit der aktualisierten AGESA-Version installieren. In dieser News sorgen wir für eine bessere Übersicht über die betroffenen Prozessoren und die AGESA-Versionen.

Zunächst einmal wollen wir auf die Sinkclose-Sicherheitslücke eingehen. Im Kern geht es darum, dass ein Angreifer über den SMM (System Management Mode) im Prozessor selbst schadhaften Code ausführt, der das System dauerhaft infiziert, sprich eine Bereinigung ist nicht möglich und ist daher unumkehrbar. Über den SMM werden wichtige Parameter des Prozessors gesteuert, der für das Betriebssystem selbst unsichtbar ist und für die Steuerung von Input- und Output-Befehlen, diverse Systembefehle und auch für das Energie-Management zuständig ist. Sowohl AMD- als auch Intel-Prozessoren arbeiten mit dem SMM, wobei die Intel-Prozessoren von dieser Lücke nicht betroffen sind.

Damit ein Angreifer diese tückische Sicherheitslücke ausnutzen kann, muss das betreffende AMD-System bereits derart kompromittiert sein, sodass der Angreifer Zugriff mit höchsten Privilegien im Kernel-Modus (Ring 0) des Betriebssystems erhält. Oberhalb des Kernel-Modes befindet sich dann der Hypervisor-Mode (Ring -1) und darüber geht der SMM mit Ring -2 ans Werk.

Stehen diese Privilegien auf grün, kann der Angreifer schadhaften Code in den SMM einschleusen. Dies können Root-Kits oder auch Spyware sein. Das Problem an der Sache ist, dass ein kompletter BIOS-Reset mittels Clear-CMOS oder auch die Neuinstallation des Betriebssystems keine Abhilfe schaffen. Dieser schadhafte Code ist dauerhaft existent, was demnach bedeutet, dass der betroffene Anwender den Unterbau entsorgen kann beziehungsweise sollte. Und selbst wenn das System bereits infiziert ist, gibt es keine Möglichkeit, dies zu überprüfen.

AMD selbst hat zu dieser Lücke ein Security-Bulletin veröffentlicht.

Die betroffenen Plattformen und AGESA-Versionen für den Fix

Anhand der unten befindlichen Tabelle wird deutlich, dass alle AMD-Prozessoren ab Zen(1) bis hoch zu Zen4(c) von dieser Sicherheitslücke betroffen sind. Einzig die brandneuen Ryzen-9000-Prozessoren für den Sockel AM5 mit der Zen-5-Architektur sind gegen diese Lücke bereits ab Werk immun.

Betroffene AMD-Plattformen und AGESA-Versionen für die Schließung der Lücke
Serie
Codename
Architektur
Sockel
AGESA-Update als Fix (ab)
Server-Plattform
Epyc 7001 Naples Zen SP3 (LGA4094) NaplesPI 1.0.0.M
Epyc 7002 Rome Zen 2 SP3 (LGA4094) RomePI 1.0.0.J
Epyc 7003 Milan(-X) Zen 3 SP3 (LGA4094) MilanPI 1.0.0.D
Epyc 8004 Siena Zen 4c SP5 (LGA6096) GenoaPI 1.0.0.C
Epyc 9004 Genoa(-X), Bergamo Zen 4(c) SP5 (LGA6096) GenoaPI 1.0.0.C
Epyc 4004 Raphael(-X) Zen 4 AM5 (LGA1718) ComboAM5PI 1.2.0.1 (?)
Desktop-Plattform (Mainstream)
Ryzen 1000 Summit Ridge Zen AM4 (PGA1331) kein Fix geplant
Ryzen 2000G Raven Ridge Zen AM4 (PGA1331) kein Fix geplant
Ryzen 2000 Pinnacle Ridge Zen+ AM4 (PGA1331) kein Fix geplant
Ryzen 3000G Picasso Zen+ AM4 (PGA1331) kein Fix geplant
Ryzen 3000 Matisse Zen 2 AM4 (PGA1331) ComboAM4v2PI 1.2.0.Cc
Ryzen 4000(G) Renoir(-X) Zen 2 AM4 (PGA1331) ComboAM4v2PI 1.2.0.Cb
Ryzen 5000(G) Vermeer(-X), Cezanne Zen 3 AM4 (PGA1331) ComboAM4v2PI 1.2.0.Cb
Ryzen 7000 Raphael(-X) Zen 4 AM5 (LGA1718) ComboAM5PI 1.2.0.1
Ryzen 8000(G) Phoenix Zen 4(c) AM5 (LGA1718) ComboAM5PI 1.2.0.1
HEDT/Workstation-Plattform
Ryzen Threadripper 1000 Whitehaven Zen TR4 (LGA4094) kein Fix geplant
Ryzen Threadripper 2000 Colfax Zen+ TR4 (LGA4094) kein Fix geplant
Ryzen Threadripper (Pro) 3000 Castle Peak Zen 2 sTRX4/sWRX8 (LGA4094) CastlePeakPI-SP3r3 1.0.0.B
CastlePeakWSPI-sWRX81.0.0.D (Pro)
Ryzen Threadripper Pro 5000 Chagall Zen 3 sWRX8 (LGA4094) ChagallWSPI-sWRX8 1.0.0.8
Ryzen Threadripper (Pro) 7000 Storm Peak Zen 4 sTR5 (LGA4844) StormPeakPI-SP6 1.0.0.1h
Mobile-Plattform (Notebook)
Ryzen 3000 Picasso Zen+ FP5 (BGA) Picasso-FP5 1.0.1.2
Ryzen 4000 Renoir Zen 2 FP6 (BGA) RenoirPI-FP6 1.0.0.E
Ryzen 5000 Lucienne, Cezanne, Barcelo Zen 3 FP6 (BGA) CezannePI-FP6 1.0.1.1
Ryzen 6000 Rembrandt Zen 3+ FP7 (BGA) RembrandtPI-FP7 1.0.0.B
Ryzen 7020 Mendocino Zen 2 FT6 (BGA) MendocinoPI-FT6 1.0.0.7
Ryzen 7035 Rembrandt-R Zen 3+ FP7 (BGA) RembrandtPI-FP7 1.0.0.B
Ryzen 7040 Phoenix, Hawk Point Zen 4(c) FP8 (BGA) PhoenixPI-FP8-FP7 1.1.0.3
Ryzen 7045 Dragon Range Zen 4(c) FL1 (BGA)DragonRangeFL1 1.0.0.3e

Zunächst hatte auf die Mainstream-Desktop-Plattform bezogen AMD erst ab Ryzen 4000(G) einen Fix für die Sinkclose-Sicherheitslücke eingeplant und die Ryzen-3000-Prozessoren (Matisse, Zen 2) sollten außen vor bleiben. Nachdem es jedoch zahlreiche, berechtigte Kritik gegen AMD hagelte, lenkte das Unternehmen ein und versorgt auch für diese Serie einen Fix. Ryzen 1000 (Summit Ridge, (Zen (1)) und Ryzen 2000 (Pinnacle Ridge, Zen+) bleiben jedoch außen vor und erhalten kein Update. Dies schließt die Ryzen-Threadripper-Versionen sowie Ryzen 2000G (Raven Ridge, Zen) und Ryzen 3000G (Picasso, Zen+) mit ein. Ergo gibt es im Desktop-Segment ab der Zen-2-Architektur ein Update gegen Sinkclose.

Bei der Server-Plattform werden alle Versionen ab Zen mit einem Update versehen. Doch auch die vielen Mobile-Ableger für Notebooks erhalten ein AGESA-Update beziehungsweise AMD hat diese Plattformen berücksichtigt. Die jeweilige AGESA-Version, die die Sinkclose-Sicherheitslücke schließt, haben wir mit in die übersichtliche Tabelle mit aufgenommen.

OEMs müssen BIOS-Updates bereitstellen

AMD liefert die AGESA-Updates bekanntlich nicht direkt zu den Endkunden, sondern zu den jeweiligen OEMs. Dies bedeutet demnach, dass die betroffenen Anwender auf die OEMs selbst angewiesen sind, um überhaupt an das wichtige BIOS-Update mit der entsprechenden AGESA-Version zu gelangen. Gerade in (großen) Unternehmen stellt dieses BIOS-Update eine sehr hohe Priorität dar.

Speziell für die AM5-Plattform, die auch auf unserer Webpräsenz von großer Bedeutung ist, gibt es ein sehr nützliches Google-Online-Dokument von unserem Community-Mitglied Reous, das übersichtlich die einzelnen AGESA-Versionen anzeigt und für die vier renommierten Mainboard-Hersteller die jeweiligen BIOS-Dateien als Verlinkung aufzeigen und bereitstellen. ASUS beispielsweise hat für die X670(E)- und B650(E)-Mainboards bereits finale BIOS-Versionen mit AGESA 1.2.0.1a auf ihrem Server.

Von ASRock gibt es noch nicht einmal Beta- oder Test-Versionen, Gigabyte ist bereits in der zweiten Beta-Welle drin und MSI bietet für alle AM5-Mainboards ein Beta-BIOS mit AGESA 1.2.0.1 an. Jedem Anwender sei angeraten, sobald spätestens ein finales BIOS-Update mit AGESA 1.2.0.1 oder höher angeboten wird, dies zu installieren. Dies gilt jedoch für alle AMD-Plattformen hinweg mit dem jeweiligen AGESA-Update.