Sicherheitsforscher haben eine Sicherheitslücke in AMD-Prozessoren entdeckt, die bereits seit Jahrzehnten besteht, wie Wired berichtet. Es handelt sich um eine faszinierende Sicherheitslücke, da sie in der Firmware der Chips selbst gefunden wurde und es Malware ermöglicht, den Speicher eines Computers tief zu infizieren.
Entdeckt wurde die Schwachstelle von Forschern des Sicherheitsunternehmens IOActive, die die AMD-basierte Sicherheitslücke als “Sinkclose”-Fehler bezeichnen. Hacker können dadurch ihren eigenen Code im privilegiertesten Modus eines AMD-Prozessors, dem System Management Mode, ausführen. Dies ist normalerweise ein geschützter Teil der Firmware. Die Forscher stellten außerdem fest, dass die Schwachstelle mindestens bis ins Jahr 2006 zurückreicht und fast alle AMD-Chips betroffen sind.
Soweit die schlechte Nachricht. Nun die bessere Nachricht. Obwohl das Problem katastrophale Folgen haben kann, ist es unwahrscheinlich, dass normale Menschen davon betroffen sind. Denn um die Schwachstelle voll ausnutzen zu können, müsste ein Hacker bereits weitreichenden Zugang zu einem AMD-basierten PC oder Server haben. Das ist für einen normalen Heim-PC eine Menge Arbeit, könnte aber für Unternehmen oder andere große Organisationen ein Problem darstellen.
Besonders besorgniserregend ist dies für Regierungen und ähnliche Einrichtungen. Theoretisch könnte sich der bösartige Code so tief in der Firmware verbergen, dass es fast unmöglich wäre, ihn zu finden. Die Forscher gehen davon aus, dass der Code sogar eine komplette Neuinstallation des Betriebssystems überleben würde. Die beste Option für infizierte Computer wäre ein One-Way-Ticket in den Müll.
“Stellen Sie sich vor, ein staatlicher Hacker oder wer auch immer versucht, in Ihr System einzudringen. Selbst wenn man die Festplatte löscht, ist er immer noch da”, sagt Krzysztof Okupski von IOActive. “Er ist fast unentdeckbar und kann kaum gepatcht werden.
Nach einer erfolgreichen Implementierung hätten Hacker vollen Zugriff, um Aktivitäten zu überwachen und den infizierten Computer zu manipulieren. AMD hat das Problem erkannt und erklärt, es habe “Entschärfungsoptionen” für Rechenzentrumsprodukte und Ryzen-PC-Produkte veröffentlicht, “Entschärfungen für eingebettete AMD-Produkte werden in Kürze folgen”. Das Unternehmen hat auch eine vollständige Liste der betroffenen Chips veröffentlicht.
AMD betonte auch, wie schwierig es sei, diese Schwachstelle auszunutzen. Das Unternehmen vergleicht die Ausnutzung der Sinkclose-Schwachstelle mit dem Zugang zu Schließfächern in einer Bank, nachdem Alarme, Wachen, Tresortüren und andere Sicherheitsvorkehrungen umgangen wurden. IOActive sagt jedoch, dass Kernel-Exploits – das Äquivalent zu Plänen für den Zugang zu diesen metaphorischen Schließfächern – durchaus in der freien Wildbahn existieren. “Es gibt bereits Kernel-Exploits für all diese Systeme”, so die Organisation gegenüber Wired. “Sie existieren und sind für Angreifer verfügbar.”
IOActive hat zugestimmt, keinen Proof-of-Concept-Code zu veröffentlichen, solange AMD an Patches arbeitet. Die Forscher warnten, dass Schnelligkeit entscheidend sei: “Wenn die Basis gebrochen ist, ist die Sicherheit des gesamten Systems gebrochen”.
