AMD-cpu's bevatten kwetsbaarheid waardoor malware heimelijk geplaatst kan worden

Onderzoekers waarschuwen voor een kwetsbaarheid in AMD-processors waardoor hackers, grotendeels zonder sporen achter te laten, malware kunnen installeren. De bug is volgens de onderzoekers in bijna alle AMD-cpu's aanwezig. Wel is er kerneltoegang nodig om deze te misbruiken.

De kwetsbaarheid zorgt ervoor dat kwaadwillenden met toegang op kernelniveau, ook toegang kunnen krijgen tot de System Management Mode, of SMM, van de AMD-processors. Dat laten de onderzoekers van beveiligingsbedrijf IOActive weten aan Wired. SMM is een diepe beheerderslaag met hoge toegangsniveaus die normaal alleen voor de cpu toegankelijk is.

Met deze toegang kunnen aanvallers de beveiligingsfuncties van de chip uitschakelen en bootkitmalware injecteren, zonder dat dit wordt opgemerkt door het besturingssysteem of antivirussoftware, stellen de onderzoekers. Een hacker zou daardoor het systeem volledig kunnen overnemen en de activiteiten kunnen monitoren. De kwetsbaarheid zou al sinds 2006 aanwezig zijn in vrijwel alle AMD-processors. Aangezien deze pas nu is ontdekt, is de bug waarschijnlijk nog niet misbruikt.

Bij systemen waarop AMD's hardwarevalidatiesysteem Platform Secure Boot verkeerd geconfigureerd is, zou een Sinkclose-aanval ook moeilijk op te lossen zijn. Onder meer het opnieuw installeren van het besturingssysteem is dan niet voldoende om de malware te verwijderen. Volgens de onderzoekers was dat het geval bij het gros van de geteste systemen. In dat soort gevallen kunnen gebruikers de malware alleen verwijderen door hun processor fysiek te verbinden met de tool SPI Flash en grondig door het geheugen te graven, wordt er gesteld.

AMD bevestigt tegenover Wired de bevindingen van de onderzoekers. De fabrikant heeft patches voor zijn EPYC-datacenterprocessors en enkele Ryzen-cpu's uitgebracht om de problemen te 'beperken'. Binnenkort moeten er ook oplossingen komen voor embedded AMD-chips, die bijvoorbeeld in industriële apparaten en auto's verwerkt zitten. De fabrikant heeft op zijn site een lijst met kwetsbare chips gepubliceerd. De kwetsbaarheid heeft het kenmerk CVE-2023-31315 meegekregen met een CVSS-score van 7.5.

AMD benadrukt dat de kwetsbaarheid erg lastig uit te buiten is, aangezien hackers daarvoor al toegang moeten hebben tot de kernel van een systeem. De fabrikant vergelijkt de bug met een methode om de kluizen van een bank te openen terwijl de alarmen, bewakers en kluisdeur al zijn omzeild. IOActive beweert dat er regelmatig kwetsbaarheden worden ontdekt en uitgebuit waardoor aanvallers toegang kunnen krijgen tot de kernels van computers, waardoor het weldegelijk mogelijk is om Sinkclose te misbruiken.

Door Kevin Krikhaar

Redacteur

Feedback • 10-08-2024 11:14
133 • submitter: huntedjohan

10-08-2024 • 11:14

133

Submitter: huntedjohan

Lees meer

AI als hulpmiddel voor cybercriminelen

11 aug 2024

AI als hulpmiddel voor cybercriminelen

ChatGPT betekent nog geen revolutie in malware

56
Kaspersky: Android-malware Necro besmette sommige apps in Google Play Store
Kaspersky: Android-malware Necro besmette sommige apps in Google Play Store Nieuws van 24 september 2024
Nieuwe Mirai-variant infecteert verouderde IP-camera's
Nieuwe Mirai-variant infecteert verouderde IP-camera's Nieuws van 3 september 2024
AMD voorziet ook Ryzen 3000-chips van patch voor Sinkclose-kwetsbaarheid
AMD voorziet ook Ryzen 3000-chips van patch voor Sinkclose-kwetsbaarheid Nieuws van 22 augustus 2024
AMD's aandeel in geleverde desktop-cpu's daalt licht, server-cpu's op hoogtepunt
AMD's aandeel in geleverde desktop-cpu's daalt licht, server-cpu's op hoogtepunt Nieuws van 13 augustus 2024
TechCrunch: onderzoekers vinden hack om betaalde functies Tesla te ontgrendelen
TechCrunch: onderzoekers vinden hack om betaalde functies Tesla te ontgrendelen Nieuws van 4 augustus 2023
Bug in AMD EPYC 7002 kan serverprocessor na 1044 dagen doen vastlopen
Bug in AMD EPYC 7002 kan serverprocessor na 1044 dagen doen vastlopen Nieuws van 4 juni 2023
Arm erkent mogelijkheid voor sidechannelaanvallen op Cortex-M-architectuur
Arm erkent mogelijkheid voor sidechannelaanvallen op Cortex-M-architectuur Nieuws van 15 mei 2023
AMD repareerde 27 kwetsbaarheden in Graphics Driver voor Windows 10
AMD repareerde 27 kwetsbaarheden in Graphics Driver voor Windows 10 Nieuws van 12 november 2021
Meer producten en artikelen
Processors Beveiliging en antivirus AMD Ryzen 5 EPYC Ryzen 3 Ryzen 7 Ryzen 9

Reacties (129)

-Moderatie-faq
129
126
50
4
0
29
Wijzig sortering
djwice 10 augustus 2024 11:23
De fabrikant heeft patches voor zijn .. Ryzen-cpu's uitgebracht om de problemen te 'beperken'.
niet voor allemaal
AMD Ryzen™ 3000 Series Desktop Processors
(Formerly codenamed)
“Matisse”
CVE-2023-31315
No fix planned
aldus de lijst die gelinkt wordt in het artikel.

edit: linkje naar beloftes over deze serie van AMD verwijderd, omdat anderen zich er aan irriteerden.

[Reactie gewijzigd door djwice op 10 augustus 2024 12:36]

synoniem @djwice10 augustus 2024 12:12
Zou een leuke vraag voor Tweakers aan AMD zijn. Misschien is de 3000 serie niet kwetsbaar. Overigens worden de 1000 en de 2000 serie zelfs niet eens genoemd.
wildhagen
@synoniem10 augustus 2024 12:17
De 3000-serie is wel degelijk kwetsbaar:
According to AMD's advisory, the following models are affected:

EPYC 1st, 2nd, 3rd, and 4th generations
EPYC Embedded 3000, 7002, 7003, and 9003, R1000, R2000, 5000, and 7000
Ryzen Embedded V1000, V2000, and V3000
Ryzen 3000, 5000, 4000, 7000, and 8000 series
Ryzen 3000 Mobile, 5000 Mobile, 4000 Mobile, and 7000 Mobile series
Ryzen Threadripper 3000 and 7000 series
AMD Threadripper PRO (Castle Peak WS SP3, Chagall WS)
AMD Athlon 3000 series Mobile (Dali, Pollock)
AMD Instinct MI300A
Zie https://www.bleepingcompu...rly-undetectable-malware/

Maar AMD wil daar kennelijk voor de 3000-serie niks aan doen, zelfs de mitigation die wel naar de andere modellen komt wordt voor de 3000 niet toegepast.

Dus de bezitters van de 3000-serie zullen helaas met de kwetsbaarheid blijven zitten en dus een risico blijven lopen.

De 1000- en 2000-series Ryzens lijken dus idd niet kwetsbaar voor dit lek.
ELD @wildhagen10 augustus 2024 20:16
Dus de bezitters van de 3000-serie zullen helaas met de kwetsbaarheid blijven zitten en dus een risico blijven lopen.
Ik wil het niet bagatelliseren, maar met kernel toegang, heb je wel meer zorgen dan een vulnerability op je CPU.
Martinez- @ELD11 augustus 2024 08:42
Gelukkig heeft weinig tot niets kerneltoegang...

Oh nee, tegenwoordig willen zelfs anti-cheats van de meest onbenullige spellen kerneltoegang. Bizar dat mensen dit toelaten.
hackerhater @ELD11 augustus 2024 14:17
Zeker onder Linux. Dit is niet voor niets een gezegde:
If someone gets root access to your machine, it is not your machine anymore
synoniem @wildhagen10 augustus 2024 12:20
Dat is inderdaad bijzonder. Wat ik ook bijzonder vind is dat Ryzen 3000 Mobile wel kwetsbaar is terwijl zover ik weet die hardwarematig niet heel veel anders is dan de 2000 desktop serie.
OruBLMsFrl @synoniem11 augustus 2024 10:55
Heeft AMD in deze lijst misschien enkel nog maar de meest recente 5 jaar aan CPU's onderzocht, is dit enkel wat ze daarmee honderd procent zeker weten en eventueel ooit nog willen proberen te fixen?
In het artikel staat natuurlijk
De kwetsbaarheid zou al sinds 2006 aanwezig zijn in vrijwel alle AMD-processors.
Dan zouden alle Ryzens en zelfs diens voorgangers tien jaar ouder dan de eerste ryzens nog kwetsbaar zijn zelfs, ryzen 1000 series is van 2017 als ik me niet vergis...
THE_FIREFOX @djwice10 augustus 2024 11:56
Ondanks deze beloftes.
Welke beloftes zijn ze niet nagekomen? "Bron" die is aangeleverd is niet van AMD maar een ander bedrijf (webshop). Het lijkt nu op stemmingmakerij zonder enige vorm van onderbouwing.

Snap ook niet waarom het bericht als Informatief is beoordeeld als er informatie onjuist is en/of ontbreekt. Enige wat nu juist is dat er geen fix is gepland voor de Ryzen 3000 series.
djwice @THE_FIREFOX10 augustus 2024 12:01
Die komen direct uit het AMD promotie materiaal, zie ook. Het promotie materiaal is van de AMD site zelf volgens mij al vervangen door informatie over moderne cpu architecturen.

[Reactie gewijzigd door djwice op 10 augustus 2024 12:14]

THE_FIREFOX @djwice10 augustus 2024 12:37
Nog steeds welke beloftes is AMD niet nagekomen? Graag transparant zijn.
Zie ook reactie van Olaf van der Spek met dezelfde vraag.
djwice @THE_FIREFOX10 augustus 2024 12:38
Linkje bevatte eerst quote tekst, verwijderd omdat mensen het stemming makerij vonden, nu is het niet goed omdat er geen quote bij zit.
Ik heb de zin en het linkje nu maar verwijderd.
Jerie @djwice10 augustus 2024 14:50
..maar natuurlijk. Je linkte naar een artikel van een random dozenschuiver. Niet van AMD zelf.
djwice @Jerie10 augustus 2024 15:48
Ik linkte naar promotie materiaal dat AMD heeft uitgegeven dat op meerdere websites identiek gepubliceerd staat.
Jerie @djwice10 augustus 2024 15:50
Oh, dat is dan wat anders. In dat geval had je het niet hoeven te verwijderen. Zorgt trouwens hoe dan ook voor een rare discussie. Kun je beter addendum doen. Nu had ik de link in een quote moeten zoeken.
THE_FIREFOX @Jerie11 augustus 2024 09:41
Die promotie materiaal zegt niks over security/bios updates. Er werd iets geclaimd (die zogenaamde beloftes) zonder enige vorm van onderbouwing vanuit het bericht of uit de "bronnen". Dit is gewoon slordig. Eerst iets beweren, daarna niet kunnen onderbouwen en daarop afschuiven omdat mensen zich irriteerden.
theezeefje @djwice10 augustus 2024 11:36
lekker, laat ik nou net een 3800X hebben :/
hottestbrain @theezeefje10 augustus 2024 11:42
Hebben veel mensen kernel mode toegang tot je machine dan?
wildhagen
@hottestbrain10 augustus 2024 11:58
Meer dan je zou denken. Veel games gebruiken bijvoorbeeld DRM- of anticheat-software, als voorbeeld Denuvo. Die bevatten vaak kenel-level drivers, en heeft dan dus toegang tot je kernel. En de game die het gebruikt dus ook. Waarmee dit lek in principe uitgebuit zou kunnen worden.

Zie deze link voor een overzicht van games die bijvoorbeeld op die manier kernel-toegang hebben.

Ook antivirus software (en niet alleen Crowdstrike die @Vaevictis_ al noemt) hebben doorgaans ook kernel-level access, anders kunnen ze hun werk vaak niet doen.

Aangezien bijna iedereen wel een antivius pakket draait zijn al die systemen dus potentieel vatbaar voor exploitation van deze bug.

[Reactie gewijzigd door wildhagen op 10 augustus 2024 12:04]

mr.Millenarian @wildhagen10 augustus 2024 17:46
Maar als ik het goed begrijp moet de malware dan door bijvoorbeeld hulp van een antivirus programma je CPU aanvallen. Dat zou toch wel schandalig zijn als dat gebeurt. Hetzelfde als dat de bewaker de boeven binnen laat.
R4gnax @mr.Millenarian10 augustus 2024 19:49
In het verleden zijn er gevallen geweest van antivirus pakketten die een stokoude versie van unrar binnen de kernel gebruikten om real-time inspectie op de inhoud van rar archive files te kunnen doen. Die versie van unrar was ontvankelijk voor een code execution aanval dmv een speciaal geprepareerd file.

Dus ja; het gebeurt inderdaad wel eens dat het anti-virus pakket zelf de boosdoener is.
CH4OS @wildhagen10 augustus 2024 14:55
Lijkt me dat de kernel als bedoelt in dit artikel, een ander iets is als de kernel van het OS.
wildhagen
@CH4OS10 augustus 2024 15:00
Lijkt me dat de kernel als bedoelt in dit artikel, een ander iets is als de kernel van het OS.
Nee. Dat is wel degelijk wat er bedoeld wordt, zoals nota bene ook letterlijk in het bronartikel staat:
In a background statement to WIRED, AMD emphasized the difficulty of exploiting Sinkclose: To take advantage of the vulnerability, a hacker has to already possess access to a computer's kernel, the core of its operating system.

[...]

Nissim and Okupski respond that while exploiting Sinkclose requires kernel-level access to a machine, such vulnerabilities are exposed in Windows and Linux practically every month. They argue that sophisticated state-sponsored hackers of the kind who might take advantage of Sinkclose likely already possess techniques for exploiting those vulnerabilities, known or unknown. “People have kernel exploits right now for all these systems,” says Nissim. “They exist and they're available for attackers. This is the next step.”
Dus mensen met zo'n kernel-level driver actief (dus mensen die een virusscanner geinstalleerd hebben, of die games hebben met een anti-cheat/DRM component met kernel-level driver), zijn wel degelijk (potentieel) vulnerable hier.
UrbanWoodz @hottestbrain10 augustus 2024 12:01
Vrijwel alle hedendaagse anti cheats hebben die toegang, dus mocht je CoD, LoL, Valorant, etc. spelen loop je een iets hoger risico
R4gnax @UrbanWoodz10 augustus 2024 19:53
En ook als je die spellen niet speelt. Want deze kernel-mode componenten zijn ondertekend met een ondersteund certificaat en kunnen vaak zonder verdere tussenkomst heimelijk geinstalleerd worden door een kwaadwillende, om vervolgens fouten in die componenten aan te vallen en uit te buiten om toegang te krijgen.

Zo ging het een tijd terug ook fout met een oude versie van de anti-cheat voor Genshin Impact van Chinese ontwikkelaar MiHoYo:
https://www.trendmicro.co...er-to-kill-antivirus.html
d3x
@R4gnax11 augustus 2024 13:48
brakke SW en fout certificaten design...

je haalt er een chineese rommel bij. :) hype the internet over flaws op flaws om dan de flaw te kunnen uitbuiten... met die bug hebben ze alle rechten en controle, heel veel extra moeite om dan nog in onderliggende cpu gaan ploeteren...
R4gnax @d3x11 augustus 2024 14:03
Nee, Westerse rommel - namelijk Microsoft Windows - die het zonder tussenkomst van gebruiker toestaat dat troep geinstalleerd wordt, zolang deze maar van een volgens Microsoft nog geldig certificaat voorzien is.

Dat zou gewoon niet het geval moeten zijn.
Jij wilt iets met kernelrechten installleren? Mooi-- presenteer maar credentials voor UAC elevation naar admin rechten, of de credentials voor een gescheiden admin account.

Dat is waarmee je dit soort ongein de pas afsnijdt.
d3x
@UrbanWoodz11 augustus 2024 13:45
lol, alsof dat in die games de kernel access en controle op die acces niet afgeschermd wordt in de SW zelf....

je maakt van een muis een olifant... niks hoger risico, tenzij je volledig linux draaid en daar de ACL volledig aangepast hebt. wat voor velen of bijna allemaal hier niet van toepassing zal zijn.

dit is weer een rondje risico flaws hypen op het internet. zeer typisch hier ook op tweakers... nu komt er een bepaald volkje boven..

[Reactie gewijzigd door d3x op 11 augustus 2024 13:51]

Vaevictis_ @hottestbrain10 augustus 2024 11:49
Crowdstrike
hottestbrain @Vaevictis_10 augustus 2024 11:49
Haha, fair enough
blorf @hottestbrain10 augustus 2024 20:06
Mensen met een rootkit in een ander zijn kernel. Als je dat hebt ben je al full-privilege binnen. Hoef je geen weg meer te zoeken om ergens je code in te krijgen. Wel interessant zou het zijn als het secure-boot omzeilt maar dat lijkt me onwaarschijnlijk.

[Reactie gewijzigd door blorf op 10 augustus 2024 20:11]

Jerie @theezeefje10 augustus 2024 14:48
Hier 3900X. Balen. Ik had net leedvermaak vanwege de performance loss in de Intel 13xxx en 14xxx series en dan krijgen we dit. Die 3000-series worden nog gewoon nieuw verkocht door winkels. Zonder fix lijkt me dat non-conformiteit. De winkel mag het dan oplossen met AMD.
JohanNL @Jerie10 augustus 2024 19:18
Tegelijkertijd zijn het cpu's die alweer bijna een jaar of 5 op de markt zijn, je zou kunnen zeggen dat je er dan ook niet meer een optimale beveiliging van kunt verwachten.
Of je moet het beschouwen als een productiefout, waardoor de cpu's vanaf het begin af aan al ondeugdelijk waren.
De winkel zou dan met een oplossing moeten komen, een omruil met een vergelijkbaar model die dit probleem niet heeft zou dan logisch zijn.
Dat kan dan eerst nog tussen de winkel en AMD worden afgestemd, het is niet zo dat ze dit à la minute met jou moeten oplossen, je moet ze ook wat de tijd geven hiervoor.

Maar Intel had destijds ook zo'n debacle met hun hele reeks vanaf bepaalde pentium 4 cpu's als ik het mij goed herinner.
Na de fix waren deze cpu's een stuk trager, c.q. niet meer zoals oorspronkelijk beloofd qua prestaties.
Sommigen zagen dit als iets wat Intel destijds met opzet had gedaan om de prestaties van hun cpu's op te krikken, ten koste van de veiligheid.
Iets als een sjoemel-cpu.
Hebben mensen daarvoor überhaupt enige compensatie ontvangen? Zoniet wordt het in dit geval ook erg lastig.
Mogelijk kost het patchen van deze cpu's ook performance, maar dat is nog even afwachten.
moredruid @JohanNL12 augustus 2024 12:32
Een CPU qua security updates binnen 5 jaar helemaal afschrijven vind ik wel erg ver gaan, de afschrijftermijn voor een normale PC is nog niet eens gehaald als je de CPU op dag 1 had besteld. Dit zou AMD beter moeten doen.

Voor wat betreft een oplossing: je kunt als winkel wellicht een inruilprogramma oprichten waarbij je wat korting geeft op een nieuwere CPU (x aantal jaar afschrijving = x % korting, makkelijk te controleren met de factuur). Komen ze ook meteen van de oude voorraad af en je laat de keus bij de gebruiker (als die in zijn moederbord de mogelijkheid heeft om te upgraden qua generatie).
Olaf van der Spek @djwice10 augustus 2024 12:15
Ondanks deze beloftes.
Welke belofte precies? Iets quoten zou een stuk helpen.
Soldaatje @djwice10 augustus 2024 12:46
Deze lijst kan nog veranderen, zoals ook onderaan de pagina staat.
DISCLAIMER

The information contained herein is for informational purposes only and is subject to change without notice. While every precaution has been taken in the preparation of this document, it may contain technical inaccuracies, omissions and typographical errors, and AMD is under no obligation to update or otherwise correct this information. Advanced Micro Devices, Inc. makes no representations or warranties with respect to the accuracy or completeness of the contents of this document, and assumes no liability of any kind, including the implied warranties of noninfringement, merchantability or fitness for particular purposes, with respect to the operation or use of AMD hardware, software or other products described herein. Any computer system has risks of security vulnerabilities that cannot be completely prevented or mitigated. No license, including implied or arising by estoppel, to any intellectual property rights is granted by this document. Terms and limitations applicable to the purchase or use of AMD’s products are as set forth in a signed agreement between the parties or in AMD's Standard Terms and Conditions of Sale.
Ikzellef @djwice12 augustus 2024 00:36
Off topic.
Men irriteert zich niet ergens aan, men ergert zich ergens aan. Men kan wel geïrriteerd raken, zoals ik in dit geval van verkrachting van de Nederlandse taal. Net zoiets als hij wilt.
Mensen leer Nederlands. Wat is dat toch met het onderwijs.
On topic, mijns inziens moet je toch wel erg dichtbij zijn om dit lek(je) te gebruiken, op kernel niveau, dan zit je dus diep, vraag me af of er veel situaties zijn waar dit een problem gaat geven.......
phrenzik_kid @Ikzellef12 augustus 2024 08:06
Mensen leer Nederlands. Wat is dat toch met het onderwijs.
Offtopic / ontopic
Mijns inziens (2024)
Kommagebruik in de laatste zin
Ik vraag me af
Probleem
Vibonacci @djwice12 augustus 2024 19:14
Dus eigenaren van Ryzen 3000 serie zullen van begin tot eind een lekke CPU hebben.
wildhagen
10 augustus 2024 11:20
De fabrikant heeft patches voor zijn EPYC-datacenterprocessors en Ryzen-cpu's uitgebracht om de problemen te 'beperken'.
In andere woorden, het risico wordt weliswaar beperkt, maar niet helemaal weggenomen?

Moet ik hieruit opmaken dat AMD niet de intentie heeft om een echte fix te maken die het hele probleem oplost en niet alleen beperkt? Of komt die later nog? Want als er geen volledige fix komt lijkt me dat toch niet heel erg klantvriendelijk zeg maar?

Is dit iets wat met microcode (bijvoorbeeld via een BIOS-update of een update van het OS) kan worden gepatched, of gaat AMD alle CPU's omruilen voor mensen die dat willen, net zoals Intel dat destijds met de Pentium FDIV-bug deed?
R4gnax @wildhagen10 augustus 2024 11:35
In andere woorden, het risico wordt weliswaar beperkt, maar niet helemaal weggenomen?
Het woord wat er gebruikt wordt is to mitigate - wat een iets andere lading draagt dan het Nederlandse beperken of inperken.

In deze context betekent het vaak dat het originele probleem niet verholpen kan worden, maar dat het probleem op een andere manier ondervangen wordt. Door de impact weg te nemen of door het niet langer mogelijk te maken de probleemstaat te bereiken, bijv.

Het zou zo maar kunnen dat AMD hier het originele probleem met het ongeoorloofd schrijven naar een MSR register niet hebben kunnen verhelpen omdat dat echt in hardware gebakken zit, maar dat ze in firmware microcode extra checks er bovenop hebben gestapeld om te zorgen dat die situatie niet meer getriggerd kan worden. En dan spreek je inderdaad over mitigation.

[Reactie gewijzigd door R4gnax op 10 augustus 2024 11:36]

Croga @R4gnax10 augustus 2024 12:16
De vertaling van mittigate is letterlijk "verzachten" of "beperken". Dus ja, dat is wel degelijk exact de juiste lading.

In deze context betekenen zowel het nederlandse als het engelse woord dus ook letterlijk dat: Niet het probleem volledig oplossen maar wel de impact verlagen, wellicht tot het punt dat het irrelevant wordt.
GeroldM @Croga10 augustus 2024 18:15
Waarom wordt dit woord (in de VS) ook gebruikt in zinnen als: "to mitigate traffic". Weet niet welk woordenboek jij gebruikt , maar het lijkt me dat het voornamelijk incompleet is. Of geen technisch woordenboek. Het voorbeeld van @R4gnax is nochtans duidelijk omschreven en geeft ook het concept achter 'to mitigate' uitstekend aan.
uiltje @Croga10 augustus 2024 15:05
De vertaling van mittigate is letterlijk ... beide van twee verschillende termen?

[Reactie gewijzigd door uiltje op 10 augustus 2024 15:06]

sam1987 @R4gnax10 augustus 2024 18:14
Inderdaad dit krijgen ze er niet volledig uit. Of zoals ze beschrijven in hun DEFCON introductie en AMD is hier ruim op tijd van ingelicht natuurlijk.

" System Management Mode (SMM) is one of the most powerful execution modes in the x86 architecture and code at this level is invisible to the Hypervisor and OS-level protections, including anti-cheat engines and anti-virus systems. While the BIOS ecosystem's complexity has led to a multitude of vulnerabilities in firmware over time, vendors are now making strides in delivering patches with greater speed and efficiency. Unfortunately, these efforts are not enough in the presence of a CPU vulnerability.

When researching the AMD processor, our team noticed a flaw in one of the critical components required for securing SMM. This silicon-level issue appears to have remained undetected for nearly two decades.

This presentation starts by providing an introduction to SMM and the security mechanisms that the AMD processor provides to support it. Subsequently, it delves into the CPU design flaw and the complete methodology and engineering used to create a universal ring -2 privilege escalation exploit."
Remzi1993 @R4gnax11 augustus 2024 03:36
Inderdaad, hardware fouten kan je niet zomaar geheel oplossen en dat zou dus softwarematig verholpen kunnen worden door problemen niet op te lossen maar het onmogelijk of moeilijker te maken om de hardware fout te uit te buiten.
RobertMe @wildhagen10 augustus 2024 11:29
Een groter probleem lijkt mij sowieso dat deze patch door de fabrikant verwerkt moet worden in een BIOS update én de eindgebruiker natuurlijk die BIOS update moet installeren. En bij mij persoonlijk is het updaten van het BIOS toch grotendeels een "it works, don't touch". Al helemaal als Linux gebruiker waarbij het installeren van BIOS updates een opgave is. Kudos voor Dell die de BIOS updates publiceert naar de gestandaardiseerde locatie die fwupd gebruikt. Daardoor liepen ze op Ubuntu/Kubuntu mee met de standaard updates via de UI tools.
Voor mijn (prive) Lenovo laptop heb ik gisteren gekeken en is er nog geen update (wel 31-7 aangeleverd volgens AMD, dus Lenovo weet al een week dat ze nieuw BIOS moeten maken). En updaten kan alleen via een .exe oftewel Windows. Alhoewel op de Arch Linux wiki wel staat omschreven dat je mogelijk de exe kunt uitpakken, daarin zitten dan weer exe bestanden, die moet je dan ook weer uitpakken, en mogelijk vindt je dan een (IIRC) .cap bestand die je misschien met fwupdmgr kunt installeren. Maar een berg " ifs and buts" dus.
ManIkWeet @RobertMe10 augustus 2024 11:36
Misschien heb ik mazzel gehad met persoonlijke ervaringen maar de meeste bios updates kunnen tegenwoordig toch gewoon via de bios zelf? Binary op usb, bios binnengaan, optie selecteren en klaar is kees?
Accretion @ManIkWeet10 augustus 2024 11:49
Ik kreeg laatst een BIOS update via Windows Update, daarna werkte de ethernet aansluiting op mijn laptop weer, die sinds Windows 11 niet gedetecteerd werd.

Niet slecht voor een laptop van ~7 jaar oud.

Op de Dell laptop van het werk krijgen we ook BIOS updates binnen via 'Dell SupportAssist'.

[Reactie gewijzigd door Accretion op 10 augustus 2024 11:51]

Jerie @Accretion10 augustus 2024 14:45
Niet slecht voor een laptop van ~7 jaar oud.
Vind je? Zou gewoon meteen moeten werken wat mij betreft. Niet al te best van Microsoft.

[Reactie gewijzigd door Jerie op 10 augustus 2024 14:45]

CivLord @Jerie11 augustus 2024 11:09
Wanneer een fout verholpen moet worden middels een BIOS update, ligt de fout niet aan de kant van Microsoft.
Jerie @CivLord11 augustus 2024 12:55
Dat weet je niet. Linux en Windows 10 hadden immers nergens last van.
hottestbrain @ManIkWeet10 augustus 2024 11:39
Dit is ook mijn ervaring, jaren op de technische dienst gewerkt bij computerland en BIOS updates deed ik altijd vanuit het BIOS zelf.
kdekker @hottestbrain10 augustus 2024 18:44
Lenovo, Dell, HP (en zelfs vroeger Compaq) doen dat al, zolang ik weet, met updates vanuit Windows. Ook vrij logisch, omdat uitrol van een BIOS update in een bedrijf niet zo handig uit te voeren is als je iedere pc apart langs moet gaan.

Voor minder zakelijke merken is een BIOS update idd een .bin oid bestand, dat of vanuit BIOS of vanuit een flash tooltje bijgewerkt kan worden. Voor prive gebruikers is dat nog wel te doen itt als je vele 100den PCs moet bijwerken.
Hansie9999 @ManIkWeet10 augustus 2024 12:22
Dat is voor mij toch ook wel een must dat de bios via de bios zelf met een USB stick geupdate kan worden,
Asus nog nooit problemen mee gehad, daar ben ik wel tevreden over,
DancingMonkey @ManIkWeet11 augustus 2024 08:24
Ja en veel moederborden hebben tegenwoordig een dual-BIOS optie, waarbij je een tweede BIOS installeert (wat dan de nieuwe is) als het installeren gelukt is wisselt het naar de nieuwe toe. Gaat dat fout of kan het niet booten dan revert het naar de oude bios als failsafe zodat je niet met een gebricked moederbord zit.

Asus heeft bijv nog EZ Flash 3 waarmee je niet eens iets op USB hoeft te zetten maar het zelf de nieuwe BIOS download. Dan heb je nog de BIOS Flashback opties waarmee je de BIOS kan updaten zonder het systeem aan te zetten (geen eens een CPU of RAM nodig).

Dus ja, in de meeste gevallen kan het tegenwoordig via de BIOS zelf en zelfs automatisch inclusief fallbacks. Voor laptops is het vast wat lastiger maar heb hier zelf eigenlijk nooit issues mee gehad.
Verwijderd @ManIkWeet12 augustus 2024 20:04
Als je een heel hip ding hebt, heb je zelfs BIOS-update downloads in je BIOS, of een gemarkeerde USB poort waar je (zonder CPU in socket) je BIOS mee kan updaten! Very cool.
pascallj @RobertMe10 augustus 2024 12:01
Als het om een microcode patch gaat, hoeft deze niet in de BIOS verwerkt te worden. Deze kan ook prima door het OS geladen worden. Op Windows gebeurt dit vaak automatisch, en op Linux heb je daar vaak een 'non-free' component voor nodig waardoor het niet altijd automatisch gaat.
latka @wildhagen10 augustus 2024 11:30
Dit is vergelijkbaar met de intel ME bugs. Ook die zijn maar deels gefixed en zeker geen hardware swap.
Wildfire @wildhagen10 augustus 2024 12:00
Moet ik hieruit opmaken dat AMD niet de intentie heeft om een echte fix te maken die het hele probleem oplost en niet alleen beperkt?
Dat hangt er natuurlijk vanaf of dit probleem überhaupt te verhelpen is zonder ingrepen op hardware-niveau. Als het met microcode en/of software updates te verhelpen is zal dat uiteindelijk altijd wel gedaan worden maar de eerste prioriteit is vaak het risico zo snel mogelijk op zijn minst te beperken.
Olaf van der Spek @wildhagen10 augustus 2024 12:17
net zoals Intel dat destijds met de Pentium FDIV-bug deed?
Elke processor heeft een hele lijst met bugs / errata, men gaat echt niet elke keer alle processors omruilen.
Niet alles wordt "volledig" gefixed, wat dat ook mag betekenen.
Jerie @wildhagen10 augustus 2024 14:44
Mitigatie is een gangbaar woord in de security wereld, zowel in Engels als Nederlands. De betekenis is hetzelfde.

Anderen hebben je al uitleg gegeven hoe het zit. Analogie: het probleem kan niet worden opgelost maar met pleisters kan men het verzachten. Dat kent dan wel vaak een neveneffect, bijvoorbeeld verminderde performance.

[Reactie gewijzigd door Jerie op 10 augustus 2024 14:44]

Steef 10 augustus 2024 12:13
Asus had net een bios update uitgebracht, ik dacht nog - die zijn er snel bij!

Blijkt het dat de zojuist uitgebrachte bios update de voorgaande combo update bevat ;(

Even wakker worden ASUS
justinkb @Steef10 augustus 2024 16:19
Same here... Ook ergerlijk dat je bij Asus bios settings niet kunt exporteren... Alles fotograferen is toch wel verouderd
DLSS 10 augustus 2024 15:10
Dit is wellicht een onbenullige vraag, maar hoe patch ik mijn cpu? Via een bios update of kan dat gewoon in Windows? Heb dit nog nooit gedaan 😅

[Reactie gewijzigd door DLSS op 10 augustus 2024 15:10]

wildhagen
@DLSS10 augustus 2024 15:16
Als het om microcode-patches gaat kan dat op 2 manieren.

De meest gebruikelijke is inderdaad via een BIOS-update. De leverancier van je moederbord moet de AMD Generic Encapsulated Software Architecture (AGESA), waarin die microcode verwerkt is, verwerken in de specifieke BIOS-en die voor hun moederborden bedoeld zijn. Die kan je dan flashen.

Je bent hierin dus wel afhankelijk van of die leverancier nog nieuwe BIOS-en wil maken voor jouw specifieke model moederbord. Je ziet vaak dat men dat voor oudere modellen niet meer doet. Dan heb je in principe pech...

Een tweede optie is een update voor je OS, meestal Windows én Linux. Die optie is iets minder gebruikelijk, maar het komt voor dat er OS-updates uitkomen die microcode bevatten tegen een lek.

Voorbeelden daarvan zijn voor Windows bijvoorbeeld KB4093836 die een aantal SPECTRE-lekken in Intel-CPU's dichtte, of patches tegen het Downfall-lek in Intel processoren, waarvoor microcode in de Linux-kernel werd gestopt om die te mitigaten.
DLSS @wildhagen10 augustus 2024 15:33
Heeft AMD haar updates al beschikbaar gesteld voor het publiek? Ik zou graag mijn Ryzen 7 processor willen patchen.
wildhagen
@DLSS10 augustus 2024 15:40
Daarvoor moet je zoals gezegd dus niet bij AMD zijn, die releasen de patches niet direct aan het publiek, maar aan de moederbord fabrikanten, via de AGESA. Je moet dus bij de producent van het moederbord zijn voor je BIOS-patches. Als ze die al uitbrengen voor jouw model, anders heb je helemaal pech.

Voor sommige platforms hebben ze dat dus al gedaan, voor anderen moet dat nog gebeuren. Per platform/model kan je op dit security bulletin van AMD zien of dat al gebeurd is.

Voor sommige EPYC's is dat bijvoorbeeld in mei al gebeurd, andere EPYCs waren pas in juli aan de beurt. De Threadripper 7000 kregen hun patches al in mei dit jaar, terwijl de Threadripper 3000's pas 2 weken geleden de patches kregen.

De Ryzen 3000 lijkt AMD helemaal vooralsnog niet meer te willen patchen ("No fix planned"), de Ryzen 5000-serie heeft op 30 juli, dus bijna 2 weken terug, zijn AGESA-release gehad, en de Ryzen 7000 heeft eergisteren (7 augustus) zijn AGESA-update gehad.

Let wel dat dat dus zoals gezegd de AGESA update zijn die naar de moederbord-producenten gestuurd zijn.

Hoelang het duurt voor die met BIOS-updates komen (als ze er al mee komen...) is hieruit dus niet af te leiden. Dat kan varieren van volgende week tot over 3-6 maanden tot 'nooit'... daar gaat AMD immers niet over, maar Asus, Gigabye, AsRock, MSI etc....

[Reactie gewijzigd door wildhagen op 10 augustus 2024 15:50]

DLSS @wildhagen10 augustus 2024 18:08
Dank voor de uitgebreide uitleg. Ik heb een 7800x3d, ik ga morgen uitzoeken of ik al via mijn de fabrikant van mijn kan patchen. Anders over een paar weken misschien nog eens kijken
ArcticWolf
@wildhagen11 augustus 2024 17:00
MSI heeft sinds eergisteren een BIOS update beschikbaar gesteld voor m'n MSI X370 Gaming Carbon Pro (bijna 8 jaar oud alweer }:O ). Echt geniaal dat ze zo'n oud MB nog supporten.. afgelopen februari een 5800X3D in gepropt en laatst een 7800XT GPU, werkt echt perfect.
AMI BIOS
7A32v1Q5(Beta version)
2024-08-09
9.78 MB
Description:
- Fixed CVE-2024-36877 security issue.

[Reactie gewijzigd door ArcticWolf op 11 augustus 2024 17:15]

Robin4 @DLSS10 augustus 2024 15:35
Zou er gewoon een pleister erop plakken en door gaan met het leven. :+
Geen enkele hardware is security proof als ik continu dit soort nieuwsberichten online gebracht zien worden. Ik vind het nog erger dat er geen noodpatch komt voor alle hardware dat op ze minst 10 jaar oud is.

[Reactie gewijzigd door Robin4 op 10 augustus 2024 15:36]

DIKKEHENK 10 augustus 2024 11:37
Daarom hoop ik niet dat de patch effect zal hebben op de snelheid, want dit soort CVE's scoren bijzonder laag op thuisbakken.
Wellicht dat dit op serverniveau wel relevant kan zijn.
Ron79 10 augustus 2024 12:48
Aangezien deze pas nu is ontdekt, is de bug waarschijnlijk nog niet misbruikt.
Leuke aanname....

Misschien hebben hackers dit al wel jaren misbruikt zonder dit te vertellen. Iets met jezelf in de vingers snijden... :+
flossed 10 augustus 2024 14:17
Is een xploit te detecteren?
dasiro 10 augustus 2024 15:02
Een hacker zou daardoor het systeem volledig kunnen overnemen en de activiteiten kunnen monitoren.
dit soort bangmakerij is wat misplaatst en wel om het feit dat je al door ALLE andere security-lagen heen moet zijn geraakt én nog ongemerkt data naar binnen én naar buiten moet krijgen. Dit soort exploits wordt dan ook enkel in combinatie met andere gebruikt om zogenaamde chain-attacks uit te voeren, waarbij je vaak zo complex te werk moet gaan dat het bij eenmalige toegang blijft die daarna meestal wordt dichtgezet. Gezien de 18 jaar dat deze theoretische vulnerability al 18 JAAR bestaat en tot op heden onontdekt is gebleven moet je imho al een héél geavanceerde partij zijn om deze uit te kunnen buiten.
jaaoie17 @dasiro22 augustus 2024 09:44
Dus jij update je bios verder niet? En je zegt dat de kans klein is dat er echt iets geks gebeurd?

heb zelf de Asus PRIME X570-PRO en versie 5013 gaf wel problemen bij sommige lui. Heb verder nog niet uit geüpdatet.

Die update komt al vanaf april.
"Update AGESA version to ComboV2PI 1.2.0.Ca.
Fix AMD processor vulnerabilities security."
dasiro @jaaoie1722 augustus 2024 22:44
Waarom zo'n foute aanname? Bij HP Probooks komen die bvb gewoon via windows update/WSUS binnen en kan je via een hoop management, inventory en security-tools/suites netjes bijhouden welke toestellen wel of niet compliant zijn.
jaaoie17 @dasiro23 augustus 2024 00:56
Ik bedoel wil verder niet mn bios updaten om misschien problemen te krijgen.
markg85 10 augustus 2024 23:49
Weer zo'n bs "ohh wat erg..." lek.

Kijk ik doe binnen ook mijn deuren naar andere kamers niet op slot. Toch lijken "security researchers" wel te hameren op lekken van precies dat type kaliber. Als je al binnen ben ben je de pineut, simpel. De deur naar buiten, je ramen; daar moet beveiliging op zitten en daar moet je niet doorheen kunnen of als het wel gebeurd afschrikkende middelen (alarm) hebben om inbraak alsnog te voorkomen.

Maar als je al binnen ben, of zoals AMD het zelf zegt, als je al in de bank ben en de sleutels van de kluis heb dan is het op een geven moment gewoon klaar met extra beveiliging.

Nou heb je uiteraard, en die zitten hier ook op tweakers, de beveiliging puristen die dan komen met servers, netwerken e.d. ... Dus zal de analogie maar gelijk wat verder uitbreiden. Als je in een appartement zit (synoniem voor server, vps, multitennant, etc..) heb je ook geen toegang tot het huis van je buren. Heb je dat wel dan is je software (hoe jij onderdeel ben van het geheel wat op 1 cpu draait, het appartementencomplex zelf) al niet op de goede manier beveiligt.
!GN!T!ON @markg8511 augustus 2024 14:00
Manke vergelijking. Die inhoudelijk ook gewoon niet klopt. Er zijn zat CVE's en lekken geweest in virtualisatie of docker bijvoorbeeld, waarbij i.c.m. met hardware kwetsbaarheden je bij data van andere VM's of containers kon komen (die 'andere kamer' in je vergelijking).

Kijkend naar (zoals hier elders al genoemd) de hoeveelheid anti-cheat software die in kernel mode draaien, die je verplicht bent te installeren om online spellen te kunnen spelen. Als daar een fout of bug in wordt gevonden word zou je i.c.m. met de kwetsbaarheid in dit artikel dus gewoon de pineut kunnen zijn. En dat gaat dan alleen nog over anti-cheat software.

Het chainen van kwetsbaarheden om uiteindelijk volledige controle over een systeem te krijgen is ook niet nieuw of ongewoon. Dat AMD (Wij van WC-eend) de impact lijkt te bagataliseren is w.m.b. ook niet echt verassend, lijkt te werken ook. En dat zeg ik als iemand die al 10+ alleen AMD processoren gebruikt.

M.b.t. je laatste alinea, ook totaal niet mee eens, jij bent Spectre en Meltdown alweer vergeten zeker?
Spectre breaks the isolation between different applications. It allows an attacker to trick error-free programs, which follow best practices, into leaking their secrets. In fact, the safety checks of said best practices actually increase the attack surface and may make applications more susceptible to Spectre
Meltdown breaks the most fundamental isolation between user applications and the operating system. This attack allows a program to access the memory, and thus also the secrets, of other programs and the operating system.
Dan zeker de schuld van die softwarebouwer als het mis gaat vanwege één van bovenstaande hardware issues? Ik vind het een bad take...

[Reactie gewijzigd door !GN!T!ON op 11 augustus 2024 14:10]

markg85 @!GN!T!ON11 augustus 2024 20:34
Naast dat ik spectre en meltdown niet ben vergeten vond ik dat voor een eigen pc ook idioterie om niets. Maargoed, die waren wel kritiek in alle situaties waar meer dan 1 persoon op dezelfde cpu iets kan doen. Branch prediction misbruiken in process x om in process y daar voordeel bij te hebben is wel een bugje ja.

Uiteraard kan jij dan weer zeggen dat precies hetzelfde ook kan met 1 enkele gebruiker omdat het om de processen gaat die draaien, niet om de gebruikers. Waarop ik zeg dat gebruikers fout gedrag veroorzaken om iets te bereiken, een server met meerdere gebruikers is daarom een reel risico wat er niet is bij 1 gebruiker.

Wat je dan nog kan hebben is applicaties die zelf hacked zijn en dan malafide code uitvoeren. Dat wordt door updates verholpen en die updates moet je dan ook installeren. Waarmee je uitkomt op geen beveiligingsprobleem voor 1 enkele gebruiker bij normaal gezond verstand.
Microwilly 11 augustus 2024 14:33
Lekker kernel anti cheat. Kan die dus uitbuiten.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq