AMD heeft patches tegen Masterkey-, Fallout- en Chimera-kwetsbaarheden verstrekt

AMD heeft patches voor kwetsbaarheden die het beveiligingsbedrijf CTS Labs vorige maand bekendmaakte verstrekt aan zijn partners. De chipontwerper meldt dat de updates voor onder andere Epyc-chips zich in de laatste fase van testen bevinden.

CTS Labs attendeerde Tom's Hardware erop dat AMD niks meer had laten horen over de patches, nadat het chipbedrijf eind maart liet weten hieraan te werken. Volgens het beveiligingsbedrijf zou het maanden duren om de kwetsbaarheden te dichten. Eén ervan, Chimera, zou zelfs een hardwarewijziging vereisen.

AMD meldt Tom's Hardware echter dat het ongeveer een maand na de melding van CTS Labs patches heeft verstrekt aan zijn 'ecosysteempartners'. Het gaat daarbij om alle kwetsbaarheden die de Epyc-processors betreffen naast de door Chimera getroffen Ryzen en Ryzen Pro-processors. Na de laatste testen door partners verschijnen deze patches.

Die voor Ryzenfall, die de Ryzen-chips betrof, verwacht AMD deze maand te verstrekken aan partners. Die kunnen ze vervolgens valideren, waarna de release kan plaatsvinden. CTS Labs maakte de Ryzenfall-, Fallout-, Masterkey- en Chimera-kwetsbaarheden in maart bekend. De publicatie kwam het bedrijf op kritiek te staan omdat het AMD slechts 24 uur van tevoren had ingelicht en de impact leek te overdrijven, aangezien beheerdersrechten nodig zijn om de lekken te misbruiken. CTS Labs vond dat het verantwoord handelde.

CTS Masterkey AMD Ryzen

IT-banen

Reacties (50)

MrFax 3 mei 2018 15:06

Dus het waren wel degelijk kwetsbaarheden. Er waren veel mensen die het niet serieus namen omdat het "fake" leek. Of het nu beheerdersrechten nodig heeft of niet, je kon hiermee als het goed is onherstelbare schade toedoen aan de CPU's.

[Reactie gewijzigd door MrFax op 23 juli 2024 21:07]

kiang

@MrFax • 3 mei 2018 15:53

Nu verzin je maar wat: niemand ontkende de kwetsbaarheden, deze werden vrij snel bevestigd door betrouwbare experts.

De kritiek op CTL Labs had niets met de kwetsbaarheden te maken, maar wel met hoe ze ermee naar buiten kwamen:

1) er werd enorm hard geschreeuwd dat dit enorm vreselijke kwetsbaarheden waren, terwijl dit helemaal niet zo was. Ja, ze zijn erg en moeten gepatcht worden. Voornamelijk het feit dat een succesvolle aanval mogelijk niet achteraf te detecteren en te fixen is maakt het een erge kwetsbaarheid. Maar het risico is erg laag omdat fysieke toegang nodig is. Waarom werd er dus zo hard geschreeuwd?
2) Ze hebben AMD slechts gecontacteerd 24 uur voordat ze publiek gingen. Gangbaar in de sector is enkele weken tot maanden, zodat er een patch klaar staat voor jan en alleman van de kwetsbaarheid weet. Waarom wilde dit obscure bedrijfje zo snel publiek gaan, wat de veiligheid van systemen in gevaar kan brengen?
3) Een deel van de kwetsbaarheden zat niet in AMD chips, maar in AMLogic chip die gebruikt wordt in de AMD chipset. De kwetsbaarheid zit in alle chipsets met die chip, ook van die Intel. Echter, terwijl dat stuk van het rapport constant schreeuwt dat dit het einde van AMD betekent, wordt de naam Intel niet genoemd, terwijl Intel veruit de grootste afnemer van die AMLogic chip is. Het doel was duidelijk de nadruk op AMD leggen, en niet op AMlogic of Intel. Waarom?
4) CTS Labs doet enorm geheimzinnig over de financiering van hun onderzoek. Ze hebben gezegd dat dit hun grootste opdracht ooit was, wat impliceert dat iemand hen betaald heeft om deze verzameling lekken op te zoeken. Wie, en waarom? Als het een bedrijf was dat wilde controleren of hun aangekochte hardware wel veilig is, waarom mocht CTS zo snel publiek gaan met deze kwetsbaarheden? Dat was dus niet het geval. Als de opdrachtgever de kwetsbaarheden zelf wil gebruiken voor schimmige doeleinden... waarom mocht CTS labs de kwetsbaarheden dan met zo een geluid kenbaar maken?

Deze hele zaak stinkt naar
A. ofwel hebben de klojo's bij CTS Labs, of hun opdrachtgever, gepoogd om de aandelenkoers van AMD te manipuleren en dik winst te boeken door ze te shorten. Dit is illegaal.
B. ofwel was het doel van de opdrachtgever om de verkoop van Ryzen chips te schaden. Hmmm, iemand die veel geld over heeft om AMD dwars te zitten, wie zou dat zijn?

[Reactie gewijzigd door kiang op 23 juli 2024 21:07]

HanBurger @kiang • 3 mei 2018 17:26

Dit dus! Jij legt de vinger precies op de zere plek wat Tweakers redacteuren niet altijd durven vanwege eventuele financiële consequenties.

Als het om grote Intel kwetsbaarheden gaat, een artikel 4 uur eerder, moet één of andere reden de naam AMD in dat zelfde artikel vallen. Waarom? Wat is de meerwaarde ervan? nieuws: 'Intel maakt patches voor 8 nieuwe Spectre-achtige lekken, waarvan 4 ...

4 uur later komt een artikel over “kwetsbaarheden” van AMD waar wereldwijd de meningen eensgezind zijn dat Intel harder wordt getroffen omdat er simpelweg veel meer Intel processors zijn verkocht met de desbetreffende AMLogic hardware lek. Je zou verwachten dat Tweakers de Intel gebruikers voor deze kwetsbaarheid ook voor waarschuwt, geen woord over Intel (!).

Ik houd het bij een vergissing van de redacteuren maar het draagt wel bij aan een ongewenste creatie van bepaalde mindshare bij een groot aantal lezers, dat kun je onder andere ook aflezen aan sommige tenenkrommende reacties. En je kunt ze niet eens kwalijk nemen. Velen geloven gewoon op de mooie blauwe ogen van de Tweakers redacteuren. Geloof mij, Tweakers probeert financieel hun hoofd boven water te houden en dat steken ze ook niet onder stoelen en banken. En aan Intel valt er gewoon veel en veel meer aan te verdienen. https://tweakers.net/info/over_tweakers/verdienmodel/

Als je jaren nieuwartikelen leest en je houdt bij wie wat en met de ondertoon waar op wordt gezegt, kun je mooi een lijn in de statistiek trekken. Het beste blijft dus dat je zoveel mogelijk verscheidende technieuwsbronnen volgt en liefst één zonder “pricewatch” pagina.

Ik wil Tweakers niet teveel afzeiken maar er komt een moment dat ze kleur moeten bekennen. Of een serieus onafhankelijk technieuws website of een webshops dienstverlener.
Je ziet het belangentegenstrijdigheid bijvoorbeeld ook aan Gamers Nexus: Als consument en persoon verafschuwt hij de Nvidia's GPP maar met pijn in z'n hart moet hij leunen op "This video is brought to you by GPP participators".

psychicist @HanBurger • 3 mei 2018 23:27

Ik zie grotendeels nietszeggende artikelen over Intel en Microsoft producten voorbij komen. Het ligt er een beetje te dik op dat daar een redelijk gedeelte van de inkomsten ligt en dat mag ook wel een keer toegegeven worden. Ik mis een beetje het Tweakers uit de beginperiode, maar gelukkig zijn er wel meer websites waar je terecht kunt om bij te blijven met de laatste technologie.

HanBurger @psychicist • 4 mei 2018 20:02

Ja, ik mis ook de neutrale Tweakers van weleer. Je ziet hetzelfde verval ook langzaam bij Hardware.info. Nog niet zo treurig als Tweakers maar ook bij de buren dreigt de commerciële kant de overhand te krijgen. Commerciele en neutraal techjournalistieke petten op één hoofd schept anti-consument beschermend precedent op.

Je moet ook eens heel goed letten op de "timing" van bepaald geplaatste (advertorial/review) artikelen sinds laatste jaren. Het is niet allemaal willekeurig en onschuldig als men denkt dat het is.

Xander2 @HanBurger • 4 mei 2018 19:51

Wellicht een idee voor Tweakers om aan te geven door wie ze gesponsord worden, het gezeik zal waarschijnlijk niet minder worden, respect des te meer.

Ik (en velen denk ik) snap best dat tweakers zijn idealistische hobbyisme ontgroeid is en dat daarmee andere belangen gaan spelen die haaks staan op de oorspronkelijke motieven.

Lastige positie, maar ik zie niet in wat negatief speculeren en 'dwingen' tot kleur bekennen voor verbetering gaan brengen, los daarvan vermoed ik dat de redactie helemaal niet de keuze heeft om hier verandering in aan te brengen.

HanBurger @Xander2 • 4 mei 2018 20:32

Direct of indirect gesponsord? Dat is namelijk een ander probleem.

Voorbeeld:
MSI Gaming X kaart review. Gesponsord door MSI oeps, we bedoelen Nvidia GPP eh,....

PhatFish @kiang • 3 mei 2018 16:28

Deze hele zaak stinkt naar
A. ofwel hebben de klojo's bij CTS Labs, of hun opdrachtgever, gepoogd om de aandelenkoers van AMD te manipuleren en ze te shorten. Dit is illegaal.
B. ofwel was het doel van de opdrachtgever om de verkoop van Ryzen chips te schaden. Hmmm, iemand die veel geld over heeft om AMD dwars te zitten, wie zou dat zijn?

Optie A was inderdaad door de techjournalisten benoemd. Viceroy of de opdrachtgever erachter wilde shorten met de aandelen van AMD. Dit nieuws komt natuurlijk met Meltdown en Spectre vers in het geheugen, dus snel verder gaan met zaaien van paniek. Echter reageerden de aandeelhouders erg koel op het nieuws. Indien iemand aan het shorten was met de aandelen, heeft dit die persoon waarschijnlijk veel geld gekost.

Edit n.a.v. reactie @kiang , ik had zijn tekst niet goed gelezen.

[Reactie gewijzigd door PhatFish op 23 juli 2024 21:07]

kiang

@PhatFish • 3 mei 2018 17:43

Daar doel ik op met optie A: de koers manipuleren om er winst uit te halen door te shorten

Step5 @kiang • 3 mei 2018 16:31

Was er ook niet een dikke link naar een beleggingsbedrijfje?

Hardwareseller @kiang • 3 mei 2018 18:11

Even wat gegraven

A. lijkt gelijk te hebben, kijk even naar dit artikeltje:
https://glennchan.wordpre...labs-ninewells-volume-iv/

Ook vergelijken van business registration van Flexagrid Systems en CTS LABS, lijken toch echt weggemoffeld te zijn onder een corp, maar gevestigd in isreal ivm offshore redenen.

Ook grappig dat Intel, een paar km maar van de vestiging adressen van die bedrijven vandaan zit/zat:
https://www.intel.com/con...ael/sites/qiryat-gat.html

MrFax @kiang • 4 mei 2018 00:26

Dank u wel! Dit geeft inderdaad wat meer licht. Verzinnen deed ik het niet omdat wat ik gelezen heb direct van Tweakers vandaan kwam. De verwoording van Tweakers redacteuren kan soms... lastig zijn. But i stand corrected.

[Reactie gewijzigd door MrFax op 23 juli 2024 21:07]

PhatFish @MrFax • 3 mei 2018 15:24

De kwetsbaarheden zijn ook nooit ontkend! AMD heeft vrij snel al de problemen erkend en aangegeven aan patches te werken (ook al beweerde CTS Labs dat de kwetsbaarheden onpatchbaar zijn...). Het was echter wel een storm in een glas water, want voor al deze kwetsbaarheden heb je fysieke toegang tot de machines nodig en dan zijn er binnen een bedrijf eerst security issues op HRM-vlak nodig. Het was niet fake, maar eigenlijk was er ook helemaal niks aan de hand.

Edit: Overigens heeft Steve Burke van Gamers Nexus in een YouTube video CTS Labs en Viceroy (die het nieuws presenteerde als "het einde van AMD") met de grond gelijk gemaakt. Goed vermaak: https://www.youtube.com/watch?v=ZZ7H1WTqaeo

[Reactie gewijzigd door PhatFish op 23 juli 2024 21:07]

Dennism

AMD Ryzen 5
AMD

@PhatFish • 3 mei 2018 15:44

Dat klopt dan ook weer niet volledig, je hebt geen fysieke toegang nodig. Je moet er "Enkel" voor zorgen dat een gebruiker met admin rechten code uitvoert (Iets dat bij de gemiddelde PC gebruiker helaas vaak niet al te lastig is daar die 9/10 keer met admin rechten werken) of je moet ervoor zorgen dat je zelf een account hebt (bijv. via een andere exploit dat elevated permissies kan verkrijgen). Dit is natuurlijk een stuk lastiger.

Al met al zijn het in goed beveiligde omgevingen niet de makkelijkste exploits om te gebruiken (Helaas zijn veel omgevingen, ook een boel zakelijke, totaal niet goed beveiligd maar dat is een ander verhaal) omdat je in dat soort situaties vaak minimaal 1 andere exploit nodig hebt om de benodigde admin access te verkrijgen. Maar fysieke toegang is niet noodzakelijk.

Armin

Netwerk en systeembeheer

@Dennism • 3 mei 2018 19:41

Je moet er "Enkel" voor zorgen dat een gebruiker met admin rechten code uitvoert

Plus er moest voor een aantal van de "kwetsbaarheden" een speciale ondertekende driver aanwezig zijn. Dus een nietsvermoedende gebruiker zover krijgen dat hij/zij ergens op klikt was niet genoeg!

Vandaar dat het door de meesten als een storm in een glas water werd gezien.

Het is meer iets wat black ops van een natiestaat wellicht zou kunnen gebruiken in een groter geheel bij een gerichte aanval op een specifiek persoon/doelwit. Niet de huis-tuin-en-keuken malware.

MrMonkE @MrFax • 3 mei 2018 15:16

Ik nam het wel serieus maar je kon niet veel doen zonder die patch van AMD volgens mij.
Behalve niet booten tot de patch er is. Dat kan geen tweaker opbrengen

rbr320 @MrFax • 3 mei 2018 15:30

Dus het waren wel degelijk kwetsbaarheden. Er waren veel mensen die het niet serieus namen omdat het "fake" leek.

Niemand met enige kennis van zaken heeft beweerd dat deze kwetsbaarheden nep waren. Wel werden de kwetsbaarheden door CTS Labs flink opgeklopt alsof ze van het kaliber Meltdown waren, terwijl dat duidelijk niet het geval was. Daarnaast leidde de zeer korte tijd tussen de aankondiging en de daadwerkelijke openbaring ook terecht tot de nodige kritiek.

Of het nu beheerdersrechten nodig heeft of niet, je kon hiermee als het goed is onherstelbare schade toedoen aan de CPU's.

Dat maakte wel degelijk uit, zonder beheerdersrechten kon je erg weinig met deze kwetsbaarheden.

Astennu

AMD
AMD Ryzen 5

@MrFax • 3 mei 2018 15:39

Het was was vrij snel duidelijk dat ze wel echt waren maar de impact extreem laag was. Het ging vooral over de manier waarop het bedrijf dat deed. Ze gaven helemaal geen tijd om het netjes te onderzoeken en op te lossen en gingen het meteen publiceren. Dus AMD heeft geen tijd gekregen om het te patchen voor ze bekend gemaakt werden. Normaal krijgen ze daar aan aantal weken voor.

Sinester @MrFax • 3 mei 2018 15:58

Volgens mij nam iedereen het uiteindelijk gewoon serieus.

Maar dit was allemaal zwaar overdreven, en zoals nu blijkt heeft CTS gewoon zwaar gefaald door het zo naar buiten te brengen, het enige dat klopte wat hun gezegd hebben is dat er daadwerkelijk kwetsbaarheden waren, de rest was allemaal grootte onzin en smaakmakerij

Nogal logisch dat mensen dachten dat dit nep was

Toettoetdaan @MrFax • 3 mei 2018 16:19

Als een inbreker al de rechten heeft om (o.a.) je BIOS te flashen. Wat valt er dan nog te beschermen?

Er zitten/zaten zeker wel zwakheden in verschillende onderdelen, maar daarvoor moest een hacker wel aan de bovenstaande eis voldoen.

Toegegeven, als je erg goed bent kun je, in theorie, kwaadaardige code in de PSP flashen en dan de chip verkopen aan een slachtoffer. Maar dat is een zeer theoretisch verhaal.

[Remmes] @MrFax • 3 mei 2018 15:26

Mensen namen het niet al te serieus omdat er fysiek toegang admin rechten nodig was waardoor het tov Intel nog best meeviel.

Edit: fysiek>admin

[Reactie gewijzigd door [Remmes] op 23 juli 2024 21:07]

Dennism

AMD Ryzen 5
AMD

@[Remmes] • 3 mei 2018 15:46

Wat helaas niet klopt, want Fysieke toegang is niet noodzakelijk. admin rechten wel, maar geziet het gros van de consumenten standaard met admin rechten inlogt (en zelfs bij veel bedrijven dit nog vaak voorkomend is) is (remote) admin toegang helaas lang niet altijd lastig om te verkrijgen.

Liveshort @Dennism • 3 mei 2018 16:12

Het gros van de consumenten zit op Windows 7 of hoger en logt dus niet met admin rechten in. Er zal toch echt ergens een keer een elevated rights pop up moeten komen om een bepaald programma admin rechten te verschaffen. Daarom zijn deze bugs ook relatief niet zo ernstig. Op het moment dat een programma admin rechten te pakken heeft zijn er veel snellere wegen om schadelijke dingen op een pc uit te voeren dan het gebruik maken van de Ryzen bugs.

Zer0 @Liveshort • 3 mei 2018 16:23

Er zal toch echt ergens een keer een elevated rights pop up moeten komen om een bepaald programma admin rechten te verschaffen.

Niet noodzakelijk, een andere exploit kan gebruikt worden om admin rechten te verwerven.
Het is niet ongewoon dat bij een beveiligins-inbreuk gebruik gemaakt wordt van meerdere exploits.

Op het moment dat een programma admin rechten te pakken heeft zijn er veel snellere wegen om schadelijke dingen op een pc uit te voeren dan het gebruik maken van de Ryzen bugs.

Het voordeel van (een van) de bugs is dat het mogelijk is een pc op firmware niveau te besmetten, waarna de besmetting heel lastig is te detecteren en te verwijderen.
Daarnaast is het vaak helemaal niet de bedoeling om schadelijke dingen op een pc te doen, dat valt namelijk op. In de achtergrond data verzamelen of coins minen is veel aantrekkelijker.

Sinester @Zer0 • 3 mei 2018 16:27

Niet noodzakelijk, een andere exploit kan gebruikt worden om admin rechten te verwerven.
Het is niet ongewoon dat bij een beveiligins-inbreuk gebruik gemaakt wordt van meerdere exploits.

Ja en als dat niet lukt kan een andere exploit dat weer omzeilen.. zo is een systeem nooit veilig

het gaat hier om een specifieke kwetsbaarheid, waarvoor je Admin rechten nodig hebt, en op een normaal systeem krijg je dat niet zo makkelijk als buitenstaander

Zer0 @Sinester • 3 mei 2018 16:33

zo is een systeem nooit veilig

Correct, het juiste uitgangspunt....

het gaat hier om een specifieke kwetsbaarheid

Helaas denken hackers, malware-schrijvers en geheime diensten niet zo, die knopen net zo makkelijk diverse exploits aan elkaar om hun doel te bereiken.

Sinester @Zer0 • 3 mei 2018 16:44

Correct, het juiste uitgangspunt....

Ja dat snap ik en in sommige gevallen zal het ook best kloppen, maar ik vind dat als reden gebruiken om een andere kwetsbaarheid erger te laten overkomen niet correct.

Als je zo denkt kan je niks meer vertrouwen

Zer0 @Sinester • 3 mei 2018 16:47

maar ik vind dat als reden gebruiken om een andere kwetsbaarheid erger te laten overkomen niet correct.

Afaik gebeurt dat niet, maar wordt de ernst juist gebagetaliseerd met "je hebt admin rechten nodig, dus het is niet zo ernstig"

Als je zo denkt kan je niks meer vertrouwen

Correct, het juiste uitgangspunt als het gaat om security...

Dennism

AMD Ryzen 5
AMD

@Liveshort • 3 mei 2018 16:34

Ehm, die accounts hebben in principe ook toegang tot adminrechten. Als jij bij een UAC popup "Ja" of "doorgaan" of iets anders in dezelfde strekking kan klikken op de vraag of er doorgegaan mag worden of gewoon applicaties mag installeren zonder dat je aparte admin account credentials in moet voeren heb je in principe een systeem met default admin access.

Het gros van de gebruikers klikt gewoon standaard "ja" of "Doorgaan" bij dat soort popups omdat ze "Lastig" zijn, of zet UAC zelfs uit of laat ze uitzetten. Ik ken maar weinig consument gebruikers die gebruik maken van een standaard account met alleen "User" rechten en wanneer nodig bij UAC popups of applicatie installaties een apart administrator account gebruiken waarbij ze iedere keer de credentials moeten invoeren. en dan ook nog eens goed inventariseren welke applicatie er veranderingen wil aanbrengen of uitgevoerd wil worden.

Het 2de is natuurlijk afhankelijk van het goed van de besmetting, wil je snel resultaat dan ja, zal je exploits als deze niet snel gebruiken, wil je resultaten op de lange termijn waarbij een besmetting niet of nauwelijks te detecteren is, dan wil je juist dit soort exploits gebruiken.

[Reactie gewijzigd door Dennism op 23 juli 2024 21:07]

batjes @Dennism • 3 mei 2018 16:25

Een bios flashen heb je toch echt lokale toegang voor nodig.

Tenzij ze ook een exploit in Windows gevonden hebben waarbij je de hardware input misbruikt om die admin schermpjes weg te toveren. Teamviewer kan dit bv remote enkel met gesignde drivers. Op andere wijze een hardware keyboard en/of muis mimicen is vrij pittig.

Zodra een aanvaller zo ver je netwerk/systeem binnen kan dringen dat het je bios kan flashen, heb je wat ergere security gerelateerde problemen. Want als je op afstand die local admin rechten al hebt weten te verkrijgen en dan komt stap 2: Windows zien te exploiten, of admin rechten zien te verkrijgen op netwerk niveau in een bedrijfsnetwerk.

Wanneer een aanvaller op netwerk niveau admin rechten heeft weten te verkrijgen, ben je als bedrijf al gevallen.

Dennism

AMD Ryzen 5
AMD

@batjes • 3 mei 2018 16:44

Een bios flashen heb je toch echt lokale toegang voor nodig.

Ik kan via tools als bijvoorbeeld SCCM gewoon remote bios flashes uitvoeren, zelfs unattended, als dat via een tool als SCCM kan, kan een "hacker" dat ook.

Daarnaast is maar voor 1 van deze exploits (Masterkey) een bios flash nodig.

[Reactie gewijzigd door Dennism op 23 juli 2024 21:07]

batjes @Dennism • 3 mei 2018 17:16

En daar heb je network admin rechten voor nodig.

Dan zal ik me vooral druk maken om deze exploit, dat zullen ze met die toegang natuurlijk vast nodig hebben.

Dennism

AMD Ryzen 5
AMD

@batjes • 3 mei 2018 18:21

Ik weet niet wat je direct bedoeld met network admin, misschien domain admin of enterprise admin? Maar nee, meer dan local admin rechten, dezelfde rechten als die helaas nog maar al te vaak aan medewerkers gegeven worden, of die zo'n beetje iedere consument heeft op zijn eigen systeem zijn niet benodigd om remote een bios te flashen met een tool als SCCM, PDQ of een zelfgemaakt (powershell) script.

batjes @Dennism • 4 mei 2018 15:53

Admin op het netwerk, dus domain admin oid.

Ja en diezelfde gebruiker krijgt een UAC popup die niet zo maar remote op ja weg te drukken is. Daar moet je toch echt gesigneerde drivers voor hebben of toegang tot de hardware en dus lokaal aanwezig zijn.

En die gesigneerde drivers krijg je ook niet geinstalleerd tenzij je lokaal aanwezig bent.

Het zou allemaal remote kunnen met iets zoals Teamviewer of RDP, maar als iemand zo ver is, is het systeem volledig open. Dan maakt de volgende stap echt nog maar weinig uit, ik zou me daar niet zo'n zorgen meer over maken.

Dennism

AMD Ryzen 5
AMD

@batjes • 4 mei 2018 17:05

Maar dat bedoel ik dus aan te geven, je kan dat soort zaken gewoon unattended scripten met bijv Powershell of uitvoeren met een management applicatie als PDQ of SCCM, dit onzichtbaar voor een gebruiker, terwijl je enkel een account gebruikt met locale admin rechten op het systeem van de gebruiker, geen Netwerk admin of Domain admin rechten, voor het uitvoeren van de procedure. Er is dus geen sprake van RDP / VNC of UAC popups. Nu is dit uiteraard een vrij standaard wijze waarop systeembeheer bios updates uitrolt door grote organisaties heen. Je moet "remote flashen" niet zien als een "hacker" die vanaf PC A de bios van PC B probeert te flashen, maar als hacker die een bepaalde payload (bios + script, of beide verpakt in een executable) op een systeem krijgt en er dan voor zorgt dat de gebruiker of een compromised account met local admin rechten dat uit gaat voeren.

Maar goed ik denk dat we wat te diep doorgaan, aangezien mijn punt enkel was dat voor een bios flash an sich locale toegang (als in de PC direct besturen, doormiddel van in dezelfde ruimte als de PC te zijn) helemaal niet nodig is.

batjes @Dennism • 4 mei 2018 17:23

Die unattended scripts krijg je niet op het systeem zonder RDP/Teamviewer (de network admin zeg maar) of lokaal aanwezig te zijn.

Mocht je een joypad hebben, probeer joy2key/xpadder met een muis/keyboard setup en open de task manager, task scheduler of een ander administrator rechten scherm, weg controle. Windows heeft een beveiliging (kan zo niet op de zoektermen om dat msdn artikel erbij te vinden, kan ook een channel9 video zijn geweest.) die zorgt dat UAC-loze admin acties enkel uitgevoerd kunnen worden door hardware input, en niet software. (Je kan wel een fake USB stickje eraan hangen die zich voordoet als keyboard, maar again, lokaal toegang). Het UAC scherm, kan je enkel door dezelfde hardware input controle wegklikken. Je moet hoe dan ook, een administratieve handeling uitvoeren wil je op wat voor manier 1 van jou suggesties zien uit te voeren. Wat enkel gedaan kan worden door: 1) Lokaal aanwezig te zijn. 2) Via RDP/Teamviewer, de network admin, de boel binnendringen.

Als iemand met network admin rechten in je netwerk zit, is deze exploit echt een non-issue.

Als iemand toch remote een systeem weet te betreden, de Windows security weet te doorbreken dat je zo maar even scripts, drivers of whatever geinstalleerd krijgt. Ook dan, is deze CPU exploit, echt 1 van je laatste zorgen.

[Reactie gewijzigd door batjes op 23 juli 2024 21:07]

Dennism

AMD Ryzen 5
AMD

@batjes • 4 mei 2018 17:40

Deels ben ik het je eens, iemand moet lokaal aanwezig zijn (of inderdaad RDP / VNC / Teamviewer toegang hebben), maar wat ik bedoel te zeggen is dat niet jij als hacker dat hoeft te zijn. Dat kan net zo goed een (onnozele) gebruiker zijn die wat "te veel" (local admin) rechten heeft op het systeem en een payload binnen haalt van een opzette phishing site bijvoorbeeld en daarna uitvoert. (hoeveel consumenten en gebruikers bij bedrijven hebben niet nog steeds standaard local admin rechten op hun systemen en klikken ja op iedere vraag, ik kwam laatst zelfs bij een bedrijfje trouble shooten waar de gebruikers local admin hadden op hun RDS hosts in het RDS cluster.....) Kijk bijv. eens hoeveel mensen er nog in een "Microsoft Scam" trappen, die brengen ook op een wijze als deze een payload binnen in veel gevallen.

Ik ben het wel met je eens dat zeker de exploit van deze set waar een bios flash voor nodig is niet direct een groot gevaar is voor consumenten of de meeste bedrijven, daarvoor is er teveel werk nodig. Ik ben het echter niet met je eens dat het direct een non-issue is, zeker bij zakelijke systemen kan het in bepaalde gevallen toch best handig zijn om voor langere tijd een systeem te exploiten waarbij het zeer lastig te detecteren is dat het systeem geïnfecteerd is en dat is nu juist iets dat met deze aanval wel mogelijk is, binnenkomen, exploit plaatsen en de sporen wissen waarmee je initieel binnen gekomen bent. Waardoor het systeem veilig lijkt, maar jouw exploit nog steeds aanwezig is.

[Reactie gewijzigd door Dennism op 23 juli 2024 21:07]

[Remmes] @Dennism • 3 mei 2018 16:16

Ah juist Admin rechten, en als je dan toch al admin rechten hebt kan je sowieso al veel doen.

kuurtjes 3 mei 2018 15:09

Zijn we bijna klaar met alles zo'n domme namen te geven?

Verwijderd @kuurtjes • 3 mei 2018 15:16

Je kant het dom noemen, maar je praat nou eenmaal makkelijker over Meltdown, Spectre, Spectre-NG, Masterkey, etc. Dan over CVE-2017-5715, CVE-2017-5753, etc.

Dennism

AMD Ryzen 5
AMD

@Verwijderd • 3 mei 2018 15:31

Aan de ene kant, ja, heb je zeker gelijk, het praat makkelijker, is wat hipper in de nieuwsberichten, wat minder oubollig. Aan de andere kant zorgt het echter ook weer voor verwarring. Ik heb talloze nieuwsartikelen, reddit / forum posts of reacties bij berichten als deze gezien waar Meltdown werd gebruikt wanneer Spectre bedoeld werd of omgekeerd, of Spectre V1 terwijl het over Spectre V2 ging. Misschien dat ik zelf ook wel een de fout in ben gegaan bij het snel typen van een reactie.

En dan is het hebben van een industrie standaard met CVE's met een eenduidige naamgeving toch wel handig, zodat je uiteindelijk weet waar je het overhebt. Voor nieuws berichten vind ik (mits correct gebruikt) de wat meer sensationele naamgevingen zodat hier gebruikt, of bij Spectre / Meltdown prima. Maar gaat de discussie wat dieper of hebben we het over zakelijke communicatie als Microsoft, VMware of bijv/ Red Hat KB artikelen met patch informatie dan zie ik liever de CVE's gebruikt worden (wat tot op heden gelukkig ook geloof ik overal gebeurt).

Zaffo 3 mei 2018 15:09

CTS Labs attendeerde Tom's Hardware erop dat AMD niks meer had laten horen over de patches, nadat het chipbedrijf eind maart liet weten hieraan te werken.

Een gevalletje "De pot verwijt de ketel dat hij zwart is". Zelf lichten ze AMD pas 24 uur voor het met veel bombarie openbaar maken van de lekker in.

Crp @Zaffo • 3 mei 2018 15:18

Inderdaad, dan zou ik CTS ook niet meer serieus nemen. Leuk was dan wel dat CTS claimde dat een fix voor deze kwetsbaarheden maanden zou gaan duren. AMD kwam na een week al met een oplossing.

Eagle Creek

3 mei 2018 15:06

Het feit dat ze er namen en iconen/"logo's" bij hebben geproduceerd, en AMD heel kort te tijd gaven om hierop te reageren geeft ze wat mij betreft wel een slechte naam. Wekt erg de indruk dat ze graag meegaan met de trend om vooral exposure / nieuwswaarde te genereren, ongeacht de daadwerkelijke impact.

[Reactie gewijzigd door Eagle Creek op 23 juli 2024 21:07]

aminam 3 mei 2018 15:33

CTS Labs stinkt echt aan alle kanten, is nog geen 2 jaar oud en alles wat we van ze gezien hebben is dat ze beter zijn in marketing dan in journalistiek en "white hat" praktijken.

Mit-46 3 mei 2018 15:04

Goed nieuws!!

Lord Thunder 3 mei 2018 15:39

Voor iedereen die nu 'zie je wel' roepen: Deze kwetsbaarheden zijn van het kaliber 'als ik al bij je in huis binnen ben en je kast heb open gemaakt, dan kan ik zomaar je juwelenkistje openmaken, want je hebt 'm niet op slot.' Goed dat ze gefixed worden, maar niet iets waar we direct over in paniek hoeven te raken.

Daarnaast: veel Intel moederborden hebben de zelfde microcontroller aan boord waar het deels over gaat. CTS zit echt dus gericht AMD te bashen, want over Intel zaken hoor je ze niet, ondanks dat die systemen dus ook 'gevaar' lopen.

[Reactie gewijzigd door Lord Thunder op 23 juli 2024 21:07]

Gekke Jantje @Lord Thunder • 3 mei 2018 16:25

Toevallig hebben CTS pas nog weer nieuwe intel Spectre lekken ontdekt. Blijkbaar zijn ze dus ook Intel aan het bashen

[Reactie gewijzigd door Gekke Jantje op 23 juli 2024 21:07]

Zer0 @Lord Thunder • 3 mei 2018 16:29

Intel gebruikt niet dezelfde microcontroller, maar een soortgelijke microcontroller, namelijk de Intel Management Engine.
En bugs in die IME zijn al diverse keren langs gekomen: https://tweakers.net/zoek...anagement+engine+security

Op dit item kan niet meer gereageerd worden.

AMD heeft patches tegen Masterkey-, Fallout- en Chimera-kwetsbaarheden verstrekt

Lees meer

IT-banen

Reacties (50)

Sorteer op:

Weergave: