Nachrichten

Ryzenfall, Masterkey, Fallout und Chimera

Sicherheitsexperten zu den angeblichen Sicherheitslücken bei AMD-Prozessoren

Prozessoren | HT4U.net
Vor wenigen Tagen traten völlig unerwartet die Sicherheitsexperten der israelischen Firma CTS Labs an die Öffentlichkeit und sprachen von schwerwiegenden Sicherheitslücken in AMD-Prozessoren. Kurz darauf schrieb Viceroy Research einen Nachruf auf das Unternehmen AMD. Ungewöhnlich zeigte sich aber, dass es sich bei CTS Labs um eine erst kürzlich gegründete Firma handelt, die AMD kaum Reaktionszeit vor Veröffentlichung der Daten bot, und Viceroy Research unter dem Verdacht der Börsenmanipulation stand. Der Shitstorm in den Foren des Webs war entbrannt. Nun haben sich allerdings auch anerkannte Sicherheitsexperten zur Thematik zu Wort gemeldet, darunter Dan Guido von Trail of Bits.

Sicherheitslücken geprüft und bestätigt

CTS Labs hatte den Kontakt zu Dan Guido über einen gemeinsamen Bekannten gesucht und dem Sicherheitsforscher angeboten, einen Blick auf neu entdeckte CPU-Fehler zu werfen. Guido, der seine Firma Trail of Bits im Jahr 2012 zusammen mit Alexander Sotirov gegründet hatte, berät Konzerne im Bereich der IT-Sicherheit. Der Vorschlag der ihm bis dahin unbekannten Firma aus Israel weckte seine Neugierde, und so ließ sich Guido die vollständige Dokumentation nebst Exploits schicken. Doch statt eines Fehlers wurden dem Sicherheitsforscher gleich 13 präsentiert, zudem bat CTS Labs um eine Prüfung seiner Erkenntnisse. Dan Guido konnte die Schwachstellen nachvollziehen und den bereitgestellten Exploit-Code erfolgreich anwenden. Aufgrund des Umfangs seiner Untersuchungen stellte er CTS Labs seinen üblichen Wochensatz in Rechnung.

Inzwischen hat Dan Guido weitere Details nachgeliefert. Demnach hatte Trail of Bits den betroffenen Hersteller AMD kontaktiert und mit diesem verschiedene Optionen diskutiert. Man habe AMD empfohlen, die Sicherheitslücken bei einem CERT (Computer Emergency Response Team) zu melden. Dass CTS Labs die 13 Sicherheitslücken in Prozessoren und Chipsätzen ohne die übliche Vorwarnzeit im Internet veröffentlicht hat, habe er erst aus den Medien erfahren. Üblicherweise erhalten Unternehmen hier Reaktionszeiten von mehreren Wochen – AMD bekam gerade einmal 24 Stunden.

Vermeidbare Fehler, unzureichende Prüfungen

Im Gegensatz zu Meltdown und Spectre, bei denen es sich um neuartige Angriffsmethoden handelt, waren Ryzenfall, Masterkey, Fallout und Chimera nach Guidos Ansicht vermeidbar. AMDs Schwachstellen seien allesamt typische Programmierfehler, wie sie seit den 1990er-Jahren bekannt sind. Dass diese Fehler dennoch gemacht wurden, deute auf unzureichende Sicherheitstests seitens des Herstellers hin. Im Hinblick auf die Hintertür Chimera erklärt Guido, dass diese keine Authentifizierung erfordere. Er gehe daher nicht von einer absichtlich platzierten Hintertür aus, sondern vielmehr von einem "ernsthaften Missverständnis des Bedrohungsmodells" oder einer "übrig gebliebenen Debugging-Funktionalität" aus der Entwicklungsphase.

Kein Grund zur Panik, aber unterschätzen sollte man nichts

Da alle 13 Sicherheitslücken nur dann ausgenutzt werden können, wenn sich der Angreifer zuvor Admin- bzw. Root-Rechte verschafft hat, hält sich das Risiko auch aus Dan Guidos Sicht in Grenzen. Sicherheitsexperte Travis Ormandy von Googles Project Zero teilte dazu mit, dass eine Lücke zwar eine Lücke bleibe, diese hier aber von deutlich geringerer Relevanz sei, da die Angreifer erst eine Ebene erreichen müssten, auf welcher sich dann schon komplett andere Möglichkeiten ergeben.

Die größte Gefahr besteht darin, dass der Schadcode dauerhaft in der CPU bzw. dem darin enthaltenen "Secure Processor", dem Chipsatz oder der UEFI-Firmware verankert wird, denn dort besteht für übliche Virenschutzprogramme keine Möglichkeit, eine Manipulation aufzuspüren oder zu bekämpfen. Und das macht diese Schwachstellen nicht nur für gezielte Spionage und Industriespionage hoch interessant, sondern auch für normale Cyber-Kriminelle. Aber auf diesen Level muss der Angreifer erst einmal gelangen.

AMD hat unterdessen angekündigt, die Vorwürfe zu den Sicherheitslücken zu untersuchen, und will danach dazu Stellung im Blog beziehen.

Autor: mid & pg
[]