Der Sicherheitsforscher Tavis Ormandy bei Google hat kürzlich eine neue Sicherheitslücke in AMDs Zen-2-Architektur publiziert und ihr in Anlehnung an Heartbleed und RETBleed den Namen Zenbleed verpasst. Zen 2 ist AMDs zweite Generation der Mikroarchitektur, die ab 2019 unter den Markennamen Ryzen, Threadripper und Epyc eingeführt wurde.
Meltdown & Spectre revisited
Die jetzt bekannt gewordene Sicherheitslücke macht sich, wie bereits zuvor Meltdown & Spectre, die spekulative Ausführung moderner Prozessoren zunutze. Um die Anfang 2018 bekannt gewordenen eklatanten Sicherheitslücken in den meisten der in letzten rund 20 Jahren verkauften Prozessoren ist es zwar still geworden, aus der Welt sind sie damit aber nicht, wie RETBleed im letzten Jahr deutlich machte. Dabei ging es neben Intel Core CPUs der Generationen 6 bis 8 auch um AMD Zen 1, 1+ und 2.
Was ist »spekulative Ausführung«?
Bei der spekulativen Ausführung handelt es sich um eine Funktion moderner CPUs, die ungenutzte Rechenzyklen parallel dazu verwendet, um mögliche folgende Programmschritte vorherzusagen und zwischenzuspeichern. Bei erfolgreicher Spekulation ergibt sich daraus eine Steigerung der Verarbeitungsgeschwindigkeit.
Cloudanbieter im Visier
Die als CVE-2023-20593 katalogisierte Sicherheitslücke kann durch die unsachgemäße Behandlung der Anweisung vzeroupper während der spekulativen Ausführung einem Angreifer ermöglichen, sensible Daten wie Passwörter und kryptografische Schlüssel mit einer Geschwindigkeit von 30 KB/Sek. von jedem CPU-Kern abzugreifen. Wie Ormandy schreibt, sei dies »schnell genug, um Schlüssel und Passwörter zu überwachen, während sich Benutzer anmelden«. Dabei sei es nicht von Belang, ob die Verarbeitung in virtuellen Maschinen, Sandboxen, Containern oder sonst wo passiert, weil die Registerdatei von allen auf demselben physischen Kern gemeinsam genutzt wird. Somit sind, wie schon bei Meltdown & Spectre besonders Cloudanbieter im Visier.
Aktualisierter Microcode
Bei Zenbleed erfordert ein Angriff spezialisiertes Wissen und Equipment, aber wie auch schon bei Meltdown & Spectre ist er auch aus der Ferne über einen Browser möglich. Für Heimanwender besteht kaum Gefahr durch diese Lücke, der Aufwand ist schlicht zu hoch. Mittlerweile hat AMD einen aktualisierten Microcode für betroffene Prozessoren veröffentlicht. Wer nicht auf ein BIOS-Update warten möchte, kann unter Linux über die msr-tools (model specific registers) das sogenannte chicken bit DE_CFG[9] setzen, wie Ormandy am Ende seiner Analyse schreibt.
Das gilt derzeit nur für Server-CPUs. Es gibt allerdings zusätzlich einen Fix im Kernel, der mit Linux 6.4.7 ausgeliefert wird.
Bild: AMD
Ich sag mal, das ist keine wirkliche Bedrohung. Die stärkste Bedrohung liegt in Angriffen durch KI.
Moinsen,
muss ich wieder zum Augenarzt?
Zitat von der Hauptseite hier:
“Sicherheitslücken im Silikon von Intel, AMD und ARM begleiten uns seit Meltdown & Spectre….”
Silikon? Silizium!
Erinnert mich grad an “Werner Beinhart” und die Geschichte um’s “Spironolacton Ratiopharm” 😀
Gruß + danke für die vielen tollen Artikel
Der war wirklich gut 🙂 Ist aber sonst niemandem aufgefallen.
Das war höchste Zeit, dass AMD endlich mit den neusten Features aufholt.
Also fuer kleine Anwender und Firmennetzwerke nicht so wichtig.
Wobei das auf fast alle Sicherheitsluecken zu trifft, da es immer mit erheblichen Aufwand verbunden ist und es bei kleinen eben nicht lohnt.
Was ist in Deinen Augen denn klein?
“Fast alle Sicherheitslüken […] immer mit erheblichem Aufwand” halte ich für eine gewagte Verallgemeinerung. Rasnsomware Wellen lassen sich sehr gut automatisieren und es werden sich auch Kriminelle finden, die KKU abschöpfen…
Und ja viele haben aktuell gravierendere Probleme: https://www.frankysweb.de/exchange-online-sicherheitsvorfall-weitet-sich-aus/
Naja wer das 1×1 im Umgang mit dem Rechner beherrscht, der faengt sich kaum Rasnsomware ein. Dazu kommt dann noch eine oder mehrere FW wie opnsense, pfsense (gibts schon fuer kleines Geld). taegliche Backups, Verschluesselung, periodische scannerscripts und strikte Trennung von Internet und Homenetzwerk. nur mal so als Anregung. Mein Mailserver ist zb. eine extra Buechse, wo ich die mails per Browser lesen kann also diese somit garnicht in mein Netzwerk gelangen.
Das alles war mit minimalem Aufwand zu erreichen und unter Nutzung alter Rechner.
Getrennte Netze (Internet/Heimnetzwerk). Da würde ich gerne mehr zu wissen, da ich vor dieser Herausforderung auch schon gestanden habe bzw. damit lebe. Ein Beispiel: Der SmartTV bedient sich über das Internet für z.B. Streaming Dienste und gleichzeitig greift er auch auf das NAS zu. Hier kann ich z.B. nicht trennen. Alle PCs, Laptops, Smartphones, … können/müssen auf das Internet wie auch z.B. das NAS im Heimnetzwerk, zugreifen können. Dazu kommt noch der Drucker im Heimnetzwerk und die Geräte untereinander. Also bei uns muss eigentlich jedes Gerät ins Internet können und gleichzeitig ins Heimnetzwerk. Wie kann ich das sinnvoll (hier sind auch Kids im Spiel) trennen. Ich bin für Lösungen offen!
VLAN ist der Weg.
VLAN habe/hatte ich wohl auf dem Zettel, allerdings war mein Verständnis immer so, dass ich nicht von dem einen VLAN auf das andere zugreifen kann. Da ich allerdings nur sehr beschränkte Kenntnisse habe, mag ich mich auch irren und lasse mich da gerne eines besseren belehren. Mal als Beispiel der SmartTV: VLAN 1 wäre alles was ins Internet geht, VLAN 2 ist das Heimnetzwerk. Wenn VLAN 1 aber z.B. auf 192.168.1.x herum lungert und VLAN 2 auf 192.168.10.x, wie kommen die zueinander? Dem SmartTV kann ich ja nicht sagen welches VLAN er benutzen soll. Bei einem Rechner könnte ich mir verschiedene Netzwerk Konfigurationen vorstellen, was aber echt unpraktisch wäre. Vor allem wenn der Rechner gerade auf dem NAS im Heimnetzwerk zu Gange ist und ich parallel im öffentlichen Netz (Internet) damit unterwegs bin. Vielleicht habe ich auch ein grundsätzliches Verständnis Problem, aber ich hatte seiner Zeit nach Lösungen gesucht und die waren alle sehr kompliziert und nicht für den HeimDau gedacht. Mein Gast (W)LAN läuft beispielsweise im eigenen VLAN und kann daher nicht ins Heimnetz. Vielleicht kannst du das ein wenig erklären. Bin da sehr interessiert. Gerne auch via Matrix Chat wenn es nicht hier sein soll. Danke
naja bei mir gibt es nas etc, welche eben nicht raus dürfen, son kokoloris wie smart tv habe ich nicht, genau wie wlan. habe nur eine Richtfunkstrecke ins büro. das ganze läuft ueber 3 FW mit mehreren Netzwerken. heim geht prinzipiell ins internet, da wird nichts bewegendes damit gemacht, kein onlinebanking nix.
ist nat. noch komplizierter aber grob gesagt.
Ok, sehr stringent und in einem Haushalt mit zwei Teenagern, nicht wirklich um zusetzen. Dennoch bin ich Stefans Hinweis noch einmal nach gegangen und da geht vielleicht doch etwas. Kein online Banking und ein NAS was nicht raus darf, wird schwierig. Schließlich benötigt auch dieses mal ein Update. Prinzipiell bleibt mein NAS aber auch nur im heimischen Netz. Da laufen keine Dienste die nach außen dringen.
Habe mich gerade noch einmal ein wenig belesen. Ist schon etwas komplizierter. Tagged VLANs könnten der Weg sein, da meine Switches und der Router das können (hatte ich seiner Zeit darauf geachtet). Allerdings gab es glaube ich beim NAS (OMV) ein Thema das so zu trennen, wie erforderlich wäre. Ich hatte das Thema aber geschoben und mich auf das wesentliche beschränkt. Ich werde also bei Zeiten noch einmal abtauchen. Gerne nehme ich aber alles an Infos an, die ich bekommen kann.
naja ich würde das mit einer opnsense auf ner apu4 als HW machen oder so etwas ähnlichem. da haste schonmal 4 netzwerkports, sprich 4 netzwerke und kannst den Datenverkehr sehr strikt ueber die FW regeln. Natürlich kannste auch noch vlans machen zur verteilung aber da brauchste erstmal eine netzwerkplan, also welche rechner, drucker etc, wer wo hin darf, was er dort darf, ggf noch welche ports benötigt werden. dann kann man anfangen das sinnvoll zu verbammeln.
Das habe ich sogar seiner Zeit schon gestartet. Meine kleine Netzwerk Topologie. Ist alles nicht auf die schnelle gestrickt und mit größter Vorsicht zu genießen. Mein DrayTek Router bringt aber alle Voraussetzungen mit, sowie die Managed Zyxel Switches. Wobei ich mich erinnere, dass auch die APs für die WLAN Netze ein Thema waren. Wovei die Zyxel APs auch VLAN beherrschen. Also, könnte losgehen.
Naja, dann ist aber dein netz immernoch offen wie ein Scheunentor, oder hast Du irgendwo noch ne FW? Wie willst Du sicher zb. Zugriffsrechte verteilen, ports managen?
Der DrayTek Router hat eine FW.
Die Zyxel Switches sind managed. Da kannst du solche Sachen regeln.
Ich sehe das Problem grundsätzlich eher in einer fehlerhaften oder anfälligen Konfiguration.
Dafür gibt es normal Leute die das beruflich machen und ggf. noch gelernt haben. Dazu zöhle ich nicht.