Sicherheitsforscher von IOActive haben eine Schwachstelle in Prozessoren von
AMD entdeckt, diese Sinkclose genannt und an der Defcon-Hackerkonferenz darüber berichtet, wie
einem "Wired"-Artikel zu entnehmen ist. Das Leck erlaubt es Angreifern, Schadcode in einem der höchst privilegierten CPU-Betriebsmodi, dem System Management Mode, laufen zu lassen. In diesem Modus ablaufende Prozesse sind für das Betriebssystem und andere Anwendungen nicht sichtbar – also auch für Security-Software, die damit von den Hackern umgangen werden kann.
Den zitierten Sicherheitsforschern zufolge lassen sich via Sinkclose, mittlerweile auch CVE-2023-31315 (CVSS Score 7.5) genannt, zum Beispiel Bootkits installieren, die für das Betriebssystem und Antivirus-Software unsichtbar sind. Die Angreifer erhalten damit einen kaum erkennbaren Vollzugriff auf das Zielsystem. Einmal eingenistet, lässt sich eine solche Malware-Infektion nicht einmal durch die Neuinstallation des Betriebssystems entfernen. Allerdings muss zuerst ein Kernelzugriff erfolgen, bevor sich Sinkclose ausnutzen lässt – und dafür muss das Zielsystem bereits hochgradig kompromittiert sein.
IOActive hat AMD schon im September 2023 über das Problem informiert. In der Zwischenzeit konnte AMD
Firmware-Patches für viele Epyc-, Athlon- und Ryzen-Prozessoren entwickeln – allerdings längst nicht für alle, denn laut IOActive klafft die Lücke schon in Prozessoren von 2006 und womöglich noch älteren Modellen. Und Updates für Embedded-Prozessoren kommen erst im Oktober 2024.
(ubi)
