AMD voorziet ook Ryzen 3000-chips van patch voor Sinkclose-kwetsbaarheid

De Ryzen 3000-processors van AMD krijgen toch een patch tegen de onlangs ontdekte Sinkclose-kwetsbaarheid. Via deze bug kunnen hackers malware installeren, grotendeels zonder sporen achter te laten. Wel is kerneltoegang nodig om het gat te misbruiken.

Onderzoekers waarschuwden begin deze maand voor de Sinkclose-kwetsbaarheid, die al sinds 2006 in bijna alle AMD-cpu's aanwezig zou zijn. Aanvallers met toegang op kernelniveau kunnen via de bug ook toegang krijgen tot de System Management Mode, of SMM, van AMD-processors. Dat is een diepe beheerderslaag met hoge toegangsniveaus, waar normaal gesproken alleen de cpu zelf bij kan. Aanvallers kunnen daar de beveiligingsfuncties van de chip uitschakelen en vrijwel ongemerkt bootkitmalware injecteren, waarna het gehele systeem overgenomen kan worden.

In eerste instantie werden alleen patches uitgebracht voor de EPYC-datacenterprocessors en enkele Ryzen-cpu's, maar niet voor oudere processors als de Ryzen 3000. Uit de meest recente SMM Lock Bypass Security Bulletin blijkt dat AMD tot inkeer is gekomen wat betreft deze cpu. De Ryzen 3000-processors komen nu ook in aanmerking voor de patch.

Waarom AMD van gedachten is veranderd, is niet bekend. Het bedrijf heeft daar geen uitspraken over gedaan. Andere oudere chips krijgen nog altijd geen patch voor de kwetsbaarheid.

Reacties (50)

HugoBoss1985

22 augustus 2024 10:12

Gaat deze patch via een bios update of een besturingssysteem update?

Matthijs8 @HugoBoss1985 • 22 augustus 2024 10:20

Hiervoor heb je een bios update nodig:

The Platform Initialization (PI) versions listed below have been or will be released to the Original Equipment Manufacturers (OEM) to mitigate these issues. Please refer to your OEM for the BIOS update specific to your product.

Overigens released AMD alleen voor server hardware microcode updates, ook bij andere kwetsbaarheden zoals sidechannel attacks. Voor consumer hardware heb je altijd een bios update nodig, itt Intel die wel losse microcode updates voor consumer hardware releasen.

HugoBoss1985

@Matthijs8 • 22 augustus 2024 10:23

Dank voor de toelichting en het leermoment.
W.b.t Intel wist ik dit al wel (n.a.v. Spectre en Meltdown) maar in het geval van AMD wist ik het nog niet.
Ik hoop dat deze nieuwe biossen voor AM4 spoedig uitgebracht zullen worden en dat dit voor sommige fabrikanten een argument is om dus weer eens een bios update uit te brengen.
Want sommige fabrikanten lopen ver achter t.o.v. bijvoorbeeld Gigabyte, die met de B350 borden al op AGESA 1.2.0.C. (vorige maand released) zit, terwijl Asus nog op 1.2.0.A. zit (een jaar geleden released).

[Reactie gewijzigd door HugoBoss1985 op 22 augustus 2024 10:30]

Matthijs8 @HugoBoss1985 • 22 augustus 2024 10:42

In 1.2.0.B was Zenbleed gefixed, in 1.2.0.C was Inception gefixed. Beiden waren wel behoorlijk in het nieuws geweest, dus ik vraag me af of fabrikanten dan nu ineens wel haast krijgen..
Zelf heb ik een Thinkpad (die toch ook wel bekend staan om goede ondersteuning) met Ryzen 5000 met Zen 3. Lenovo geeft 31 oktober aan als ETA voor de Sinkclose BIOS update. Niet heel snel maar op zich niet slecht. Nu heb ik AGESA 1.0.1.0, dat was wel de recentste. Maar bijvoorbeeld voor Inception had AMD in augustus 2023 een AGESA update uitgebracht, maar de BIOS update van mijn Thinkpad heeft Lenovo pas afgelopen maart uitgebracht.

Vaatdoek82

22 augustus 2024 09:32

Heeft een update zoals deze ook impact op de performance wat in het verleden nog wel eens voorkwam?

KeiFront @Vaatdoek82 • 22 augustus 2024 09:53

Nee, System Management Mode (SMM) is een aparte HW-module voor het uitvoeren van firmware. Zie Wikipedia: System Management Mode

Op de module zelf worden geen user-applicaties uitgevoerd er is dus geen performance impact.

Zie ook SPI Lock Bypass

[Reactie gewijzigd door KeiFront op 22 augustus 2024 09:55]

HollowGamer @KeiFront • 22 augustus 2024 09:58

Is dit hetzelfde als Intel MEI?

GertMenkel

Beveiliging en antivirus

@HollowGamer • 22 augustus 2024 10:10

Ja en nee. De aanval gebeurt op SMM-niveau ("ring -1") dat een speciale modus is waar je processor bepaalde code onder uitvoert die buiten beheer van je besturingssysteem staat.

Vanwege ontwerpfouten van moederbordfabrikanten ontdekte men ook dat je vanuit SMM de opslag van de securityprocessor (wat AMD de PSP noemt, de tegenhanger van de Intel Management Engine). Als je de firmware van de PSP weet te vervangen, is de kans dat je virus ooit gevonden wordt minimaal. Dat vereist echter wel dat je moederbordfabrikant hun bord verkeerd heeft ontworpen én de exploit in SMM-modus kan komen.

SMM-code wordt niet veel uitgevoerd, het wordt vooral gebruikt voor dingen als opstarten en sleep/hibernation en power management. In theorie kan AMD dat soort processen hebben geoptimaliseerd, maar als dat ongedaan is gemaakt is de impact waarschijnlijk milliseconden per dag.

KeiFront @HollowGamer • 22 augustus 2024 10:15

Nee Intel MEI is een ingebouwde microcontroller waarop een lichtgewicht besturingssysteem draait. Alternatief van AMD is PSP maar PSP heeft voor zo ver ik weet geen netwerk toegang, etc. Intel MEI wel.

dylan111111 @Vaatdoek82 • 22 augustus 2024 09:56

Ik denk van niet, dit is een SMM issue voor de configuratie voor de CPU. Niet in de branch prediction of andere instructies die games/software gebruiken zoals bij Intel Spectre en Meltdown het geval was. https://www.amd.com/en/re...bulletin/amd-sb-7014.html

Matthijs8 22 augustus 2024 10:26

Op zich goed dat Ryzen 3000 ook de patch krijgen, maar nog steeds slecht aangezien de kwetsbaarheid er al in 2006 in zat. Dat hele oude modellen geen patch krijgen is logisch, maar Ryzen 2000 was pas in 2018 gereleased. Ze zouden toch ook de hele Ryzen lineup kunnen patchen.
Intel ondersteund nu nog steeds Skylake, terwijl die uit 2015 is. En Intel brengt ook losse microcode updates uit, dus je bent niet afhankelijk van ondersteuning van BIOS updates door de fabrikant.
EDIT: Skylake is officieel al wel EOL, al neemt Intel Skylake nog wel mee in deze tabel:
https://www.intel.com/con...ed-product-cpu-model.html

[Reactie gewijzigd door Matthijs8 op 22 augustus 2024 11:13]

d3x

@Matthijs8 • 22 augustus 2024 11:05

en van een mug wordt een olifant gemaakt... het typische media effect. Iedereen op dit forum doet nu alsof ze een groot security probleem hebben, dringend patches nodig

.

Wat doe je dan rechtstreeks je systeem aan het internet hangen zonder FW en AV alles downloaden op eender welke site en clicken op alles wat beweegt, een telefoon aannemen en die stuurt wat sw door en effe instaleren. $_/-\o_$

beveiliging is 99% je eigen doen en laten. Niet de media clickbait hype volgen

[Reactie gewijzigd door d3x op 22 augustus 2024 11:07]

OruBLMsFrl @d3x • 22 augustus 2024 11:26

Het gaat volgens mij niet zozeer over dringend patches nodig, maar dat cpu's uit 2018 en vast nog wel verkocht in 2021/2022 zelfs dus nooit meer een patch zullen krijgen. Dat dat erg karig is.

Matthijs8 @OruBLMsFrl • 22 augustus 2024 11:31

Inderdaad. Ik heb niks gezegd over hoe dringend het zou zijn. Dat kan ieder voor zich bepalen. En voor de gemiddelde thuisgebruiker zal dat helemaal niet dringend zijn.

jurroen @d3x • 22 augustus 2024 11:26

Ik snap je reactie en ben het daar gedeeltelijk mee eens - maar niet volledig. Het wordt vaak wel opgeblazen in de media, wat niet altijd terecht is. Als er al ring 0 toegang nodig is en dan vele uren tijd om enkele kilo- of megabytes aan data te ontfutselen, is dit geen risico voor de gemiddelde thuisgebruiker.

Echter, enkele in-silicon kwetsbaarheden waren te misbruiken via JavaScript. Als je dan secrets (private keys, master passwords) kunt sidechannelen of uit kunt lezen is het een ander verhaal.

Enterprise en datacenter-level SKUs genieten vaak een langere support lifecycle. En dat is maar goed ook - want de gevolgen van een dergelijke exploit op cloud infrastructuur en hypervisors zijn van een hele andere orde.

d3x

@jurroen • 22 augustus 2024 11:29

we spreken hier in consumenten taal, niet in wat we doen in datacenters. Maar veel IT omgevingen zijn gewoon dramatisch in beheer want dat kost geld en kennis.

jurroen @d3x • 22 augustus 2024 11:32

Correctie: jij spreekt hier in "consumententaal"

En je reageert enkel op de laatste alinea, terwijl de eerste twee wel degelijk on-topic waren en over comsumer-grade SKUs gingen.

Van der Berg 22 augustus 2024 09:49

Ik vraag mij af, is de patch al beschikbaar voor de Ryzen 5000 generatie ik heb de,Ryzen 7 5800X. Ik gebruik Norton 360 Premium met alles goed ingesteld op hoge niveau ben ik dan daardoor niet veilig?

ArcticWolf

@Van der Berg • 22 augustus 2024 10:00

Ja sinds 9 augustus (in ieder geval bij MSI), je moet een nieuwe bios flashen voor de nieuwe microcode.

Van der Berg @ArcticWolf • 22 augustus 2024 10:54

Ik heb een GIGABYTE X570 AORUS PRO. Ik heb toch zojuist mijn bios een update gegeven naar de nieuwste versie van vorige maand en chipsetdrivers een update gegeven.

Matthijs8 @Van der Berg • 22 augustus 2024 12:36

Bij de update staat: "Update AMD AGESA V2 1.2.0.C" (https://www.gigabyte-data...rev-11/support#support-dl)
AMD geeft aan dat het pas in 1.2.0.cb gefixed is: https://www.amd.com/en/re...bulletin/amd-sb-7014.html

Van der Berg @Matthijs8 • 22 augustus 2024 13:13

Ik zal de site in de gaten houden en bedankt voor deze informatie. Ik zal zodra die bios beschikbaar komt weer opnieuw updaten. Mijn computer voelt nu veel stabieler aan, na de bios update en de drivers dat ik een update heb gegeven.

[Reactie gewijzigd door Van der Berg op 22 augustus 2024 13:14]

HollowGamer @Van der Berg • 22 augustus 2024 10:01

Waar je wel veilig van bent, is dat zij al je data/activiteiten die je doet, opslaan in hun eigen cloud.

Ik zou Norton of McAfee niet meer draaien, ook al zouden ze mij betalen (ligt van het bedrag af eventueel).

GertMenkel

Beveiliging en antivirus

@Van der Berg • 22 augustus 2024 10:05

Norton, dat is lang geleden!

Als je de updates van Windows en die van je moederbordfabrikant installeert, zou je hier helemaal geen last van moeten hebben. Zelfs als het virus draait, is de kwetsbaarheid als het goed is al lang opgelost, dus kan het niet meer dan ieder ander virus.

Ik verwacht dat de kans dat je een virus installeert dat zich zo diep nestelt in je systeem heel erg klein is, tenzij je werkt met gevoelige informatie in een sector waar andere landen hun spionagemiddelen op inzetten.

Los daarvan: sommige virussen ontwijken detectie. In dit geval moet een virus ook administratortoegang hebben. Dat is moeilijker te krijgen zonder detectie maar ook dat is soms met exploits mogelijk. Zelfs met antivirus ben je nooit helemaal vrij van risico.

Wil je je beter verdedigen tegen dit soort virussen, is de meest effectieve manier wellicht om een los administratoraccount op je systeem te zetten en in te loggen als niet-administrator. Op die manier voorkom je dat de meeste virussen zich diep in je systeem kunnen nestelen. Je zou ook je user account control slider helemaal omhoog kunnen zetten, dat scheelt ook wat bypasses, maar dan zul je wel meer administratorprompts moeten doorklikken. Zonder administratortoegang kan een virus geen kerneldriver inladen, en zonder kerneldriver kan het virus de processor niet aanvallen.

bzuidgeest @Van der Berg • 22 augustus 2024 09:53

Ik wist dat er nog mensen waren die moedwillig dat soort pakketten als norton360 gebruikten.
Halveert het nog steeds de performance van je systeem voor een premium prijs of valt het mee tegenwoordig?

HollowGamer @bzuidgeest • 22 augustus 2024 10:02

Niet zo zeer performance, maar wel batterijduur en de energie rekening als je het op een desktop draait.

De meeste APUs/CPUs voelen het niet zo, maar mocht je op Windows zitten, dan is Defender meer dan prima.

Vaatdoek82

@HollowGamer • 22 augustus 2024 10:08

Defender is een stuk beter geworden t.o.v. vroeger. Zelf zie ik niet zo de noodzaak voor een extra virusscanner.

Van der Berg @bzuidgeest • 22 augustus 2024 09:55

Ik merk niet dat ik performance verlies heb tijdens het gebruik. Ik gebruik Norton 360 daarnaast op mijn smartphone en tablet.Op mijn smartphone en tablet werkt Norton ook intensief en merk er niks van.

Ik koop het iedere jaar en dit jaar voor €21,99 voor 10 gebruikers

[Reactie gewijzigd door Van der Berg op 22 augustus 2024 09:59]

jaaoie17 @Van der Berg • 22 augustus 2024 10:09

Standaard windows defender is goed zat hoor.

bzuidgeest @jaaoie17 • 22 augustus 2024 10:13

En gratis

jaaoie17 @bzuidgeest • 22 augustus 2024 10:15

Plus een gezond verstand. Dan hou je nagenoeg alles wel tegen.

tw-backdoorbug @jaaoie17 • 22 augustus 2024 10:24

Alleen niet iedereen heeft gezond verstand *kuch Ouders.

Dus hier Bitdefender abbo want beter in real time protection dan defender en een browser block voor shady websites.

Gebruik het zelf ook, want heb 5 apparaten. En nog smartphone licentie, voor ouders.

bzuidgeest @Van der Berg • 22 augustus 2024 10:00

Dat merkte je nooit tot je het weghaalde

, scheelde altijd honderden nutteloze prompts en een nieuwe pc kopen. Maar als jij er blij mee bent.

EXos @Van der Berg • 22 augustus 2024 10:03

Je kwetsbaarheid valt sowieso wel mee in dit geval. Net zoals de latere varianten van Spectre etc; als iemand deze exploit wil gebruiken moeten ze toegang hebben tot je computer (als in fysiek).
Nog steeds aan te raden om gewoon je systeem up-to-date te houden. Maar maak je er niet super veel druk om. Gewoon bios en firmware updaten wanneer nieuwe beschikbaar komen.

Matthijs8 @EXos • 22 augustus 2024 10:54

Letterlijk fysieke toegang is voor dit soort exploits niet nodig. De aanvaller moet wel code op je computer kunnen draaien. Dat kan zelfs alleen Javascript in de browser zijn zoals bij bepaalde Spectre varianten. Maar meestal is er al een andere exploit nodig voor bijvoorbeeld de PDF reader of browser.
Voor Sinkclose is wel kernel access nodig, dus je hoeft er er inderdaad niet super druk om te maken. Met als kanttekening dat Microsoft bijvoorbeeld alleen afgelopen Patch Tuesday al 36 Escalation of Privilege vulnerabilities heeft gepatched.

d3x

@Matthijs8 • 22 augustus 2024 11:12

en wat moet het victim dan allemaal al niet doen om die vulnerabilities te laten activeren... veiligheid begint bij jezelf.

JWL92 @d3x • 22 augustus 2024 16:08

n vage website, of geïnfecteerde ad zou genoeg kunnen zijn als r bijv een lek zit in een anti cheat client die op de achtergrond draait, of n AV met kernel acces...

d3x

@Van der Berg • 22 augustus 2024 11:09

kijk dat krijg je dus als resultaat van al die media hype en clickbait...

er is niks mis met je systeem, je bent geen target en de hacker heeft al elevated priviledges nodig op je systeem. dus de kans dat die dan ook nog eens iets in je bios gaat zetten om later veilig te zijn is 0.0000001%

dus op tijd en stond gewoon een update doen van je gehele systeem is gewoon goed genoeg zonder er een drama van te maken.

[Reactie gewijzigd door d3x op 22 augustus 2024 16:35]

justinkb 22 augustus 2024 11:54

Asus heeft nog geen update beschikbaar voor mijn b650 mobo

cool1971 @justinkb • 22 augustus 2024 12:51

Die zal ook één van de laatste zijn.

djwice

22 augustus 2024 19:09

ComboAM4v2PI
1.2.0Cc
(2024-08-16)

ComboAM4PI
1.0.0ba
(2024-08-16)

Twee versies op 1 dag...

Wel fijn dat nu ook de 3000-series een patch krijgt, en dat terwijl op 2024-08-10 dat nog niet op de planning stond:
djwice in 'AMD-cpu's bevatten kwetsbaarheid waardoor malware heimelijk geplaatst kan worden'

[Reactie gewijzigd door djwice op 22 augustus 2024 19:12]

cool1971 @djwice • 23 augustus 2024 11:49

Dat is toch de AGESA update, die is hier al 11 April en 11 juli vrij gegeven (Update AMD AGESA V2 1.2.0.C) bij Gigabyte.
Dat is nog niet de update uit het artikel.

djwice

@cool1971 • 23 augustus 2024 19:15

Voor de CVE-2023-31315 aldus de link in het artikel.

AMD AGESA V2 1.2.0.C is voor CVE-2023-20593 de Zenbleed vulnerability.

Ik zie dat GigaByte op 11 juli voor CVE-2023-20593 een bios update heeft uitgebracht (F39b). Voor CVE-2023-31315 heeft gigabyte de update van AMD nog niet in een bios update voor haar moederborden heeft gestopt.

[Reactie gewijzigd door djwice op 23 augustus 2024 21:58]

cool1971 @djwice • 24 augustus 2024 08:23

Dus je herhaalt even wat ik zeg met linkjes erbij....

djwice

@cool1971 • 24 augustus 2024 10:16

Nee, ik geef aan dat mijn citaat voor CVE-2023-31315 is en niet over de update van 11 juli gaat.
Kan ook niet want de patch - in mijn citaat - is van 16 augustus.

[Reactie gewijzigd door djwice op 24 augustus 2024 10:18]

rubenvb @Alxndr • 22 augustus 2024 12:47

Omdat dat niet van AMD afhangt en daar dus ook geen informatie over is.
Dit soort patches komen via BIOS updates, die gemaakt worden door moederbord/laptopfabrikanten.

Het zijn zij die de installeerbare updates maken en aan de eindgebruikers distribueren.

Alxndr

@rubenvb • 22 augustus 2024 12:55

Thanks, maar dan hadden ze dat toch in ieder geval kunnen (moeten) vermelden?

JWL92 @Alxndr • 22 augustus 2024 16:03

The Platform Initialization (PI) versions listed below have been or will be released to the Original Equipment Manufacturers (OEM) to mitigate these issues. Please refer to your OEM for the BIOS update specific to your product.

https://www.amd.com/en/re...bulletin/amd-sb-7014.html
deze link, uit eerdere bericht over deze kwetsbaarheid
nieuws: AMD-cpu's bevatten kwetsbaarheid waardoor malware heimelijk geplaatst...

Op dit item kan niet meer gereageerd worden.

AMD voorziet ook Ryzen 3000-chips van patch voor Sinkclose-kwetsbaarheid

Lees meer

Reacties (50)

Sorteer op:

Weergave: