Sicherheitsforscher haben eine ziemlich gefährliche Schwachstelle in AMD-Prozessoren entdeckt, die Berichten zufolge die überwiegende Mehrheit der seit 2006 hergestellten AMD-Prozessoren betrifft. Die Entdeckung wurde von Enrique Nissim und Krysztof Okupski gemacht, die zu IOActive gehören, und der Fehler, der als Sinkclose bezeichnet wird, wurde auf der DefCon vorgestellt. Die Gefahr von Sinkclose besteht darin, dass alle wichtigen Schutzmechanismen eines Systems umgangen werden können. So lassen sich beispielsweise Bootkits/Rootkits installieren, die von klassischen Antiviren-Tools nicht erkannt oder entfernt werden können.
Den Experten zufolge ist es in einigen Fällen aufgrund der Schwachstelle einfacher, das System zu ersetzen als es zu reparieren. Die Schwachstelle selbst kann genutzt werden, um Code im SMM-Modus (System Management Mode) auf AMD-Prozessoren auszuführen, der normalerweise für kritische Firmware-Operationen reserviert ist. Natürlich kann Sinkclose nur genutzt werden, wenn der Angreifer bereits erfolgreich auf den Kernel des Betriebssystems zugegriffen hat, was nicht einfach, aber auch nicht unmöglich ist, da ähnliche Sicherheitslücken recht häufig entdeckt werden.
Die Schwachstelle liegt genau in der TClose-Funktion, die in das Repertoire der AMD-Prozessoren aufgenommen wurde, um die Kompatibilität mit älteren Geräten zu gewährleisten. Diese Funktion kann mit dem richtigen Code und den richtigen Bedingungen manipuliert werden, so dass ein Angreifer das System dazu bringen kann, seinen eigenen modifizierten Code anstelle des sicheren Codes auszuführen, wenn der Prozessor Aufgaben auf SMM-Ebene ausführt, so dass bösartiger Code installiert werden kann, der von Hackern genutzt werden kann, um unentdeckt zu arbeiten.
Das Problem ist, dass dieses "Schlupfloch", wenn es einmal geöffnet wurde, nicht durch eine Neuinstallation des Betriebssystems geschlossen werden kann, da sich der bösartige Code nicht im klassischen Datenspeicher befindet, sondern tiefer. Natürlich können mit einem SPI-Flash-Programmiergerät kritische Speicherbereiche gescannt werden, so dass der bösartige Code im Prinzip entfernt werden kann, aber das ist keine leichte Aufgabe.
Die Sicherheitslücke selbst betrifft leider nicht nur Systeme auf dem Client-Markt, sondern auch eingebettete Systeme und Server. Die Schwachstelle wurde dem AMD-Team bereits vor 10 Monaten von Forschern gemeldet, so dass genügend Zeit zur Verfügung stand, um den notwendigen Code zur Verringerung der Angriffsfläche vorzubereiten, aber leider gibt es keinen vollständigen Patch. Ein weiteres Problem ist, dass für die Prozessoren der Serien RYZEN 1000, RYZEN 2000 und RYZEN 3000 sowie für die Prozessoren der Serien Threadripper 1000 und 2000 und erst recht für ältere Prozessoren und APUs keine Korrekturen verfügbar sind. Alle Generationen der EPYC-Serverprozessoren haben den erforderlichen Patch erhalten. Über die CPUs der Serien RYZEN 9000 und RYZEN AI 300, die nicht einmal auf der AMD-Liste aufgeführt sind, gibt es noch keine Neuigkeiten, so dass es möglich ist, dass sie vor ihrer Herstellung tiefgreifenden Designänderungen unterzogen wurden, um die Sinkclose-Schwachstelle zu vermeiden.
Es ist immer eine gute Idee, die kommenden Updates zu installieren, egal ob es sich um ein neues BIOS, einen neuen Treiber, ein Betriebssystem-Update oder etwas anderes handelt, da dies die Angriffsfläche verringert. Sicherheitsforschern zufolge könnte die Sicherheitslücke vor allem von größeren Hackergruppen mit staatlicher Unterstützung ausgenutzt werden, die bereits über ein großes Waffenarsenal verfügen.
