Bei soviel Löchern im Käse fällt ein weiteres doch gar nimmer mehr auf .....

ich weiß nicht ob das hier reinpasst, aber es geht um Sicherheit:


The problems arising from the recent hack of graphics card maker Nvidia continue. According to the Bleeping Computer news site, threat actors are using stolen Nvidia code signing certificates to sign malware they try to install on victims’ computers. These are things like backdoors, the Cobalt Strike communications tool and the Mimikatz credentials stealing tool. With these certificates, Windows would allow these tools to load


https://www.itworldcanada.com/article/cyber-security-today-march-7-2022-more-damage-from-the-nvidia-hack-real-customer-data-exposed-the-unexplained-closing-of-a-criminal-forum-and-more/475019

AMD hat auch wieder ein neues Löchlein:
Eine neue Art der Branch Target Injection (BTI) alias Spectre V2 umgeht AMDs bisherige Versuche, Sicherheitslücken dieses Typs zu schließen. Der Entdecker Pawel Wieczorkiewicz nutzt dabei eine Eigenheit von AMD-Prozessoren der Architekturgenerationen Zen 1 und Zen 2 aus, deren Sprungvorhersageeinheiten nach einem bedingungslosen Sprungbefehl wie JMP weiterspekulieren, statt den Instruktionszweig zu beenden.
[...]
Ab Zen 3 verwenden AMDs Prozessoren eine verbesserte Sprungvorhersage, welche diese Eigenheit nicht aufzeigt. Bei Intel sind keinerlei Core-i- oder Xeon-CPUs betroffen.
Quelle (https://www.heise.de/news/CPU-Sicherheitsluecke-Spectre-V2-Neuer-Dreh-betrifft-AMDs-Ryzen-und-Epyc-6544029.html)

:uup:

Tja, da ist also Zen 3s Sprungvorhersage nicht nur schneller, sondern auch sicherer. Ich erinnere mich noch an die ganzen Untergangspropheten, die schon das Ende von CPUs, wie wir sie kannten, herbeinostradamusten...
Komischerweise hat sich seit Bekanntwerden der Lücken einfach gar nichts verändert...

Doch...olle Skylake basierte Notebooks sind zumindest im Unternehmensumfeld schleichend zu fast unbenutzbarem Kernschrott geworden.
Schneller als sie es wahrscheinlich sonst wären.

Aha, ihr lasst ständig Server in VMs auf Notebooks laufen oder irgendwelche I/O-intensiven Datenbank-Tasks? Klingt nach einer ziemlich komischen Firma.

Dir ist klar, dass die Patches nicht nur Datenbanken und VMs ausbremsen? :tongue:
https://www.phoronix.com/scan.php?page=article&item=3-years-specmelt&num=5

Die Nutzung eines VPN und auch sonstiger Netwerkbasierter Anwendungen/Dienste ist ja wohl eher Standard geworden. (S4 HANA läuft in manchen Unternehmen komplett im Browser)

Man kann ja gerne streiten ob es aufgrund des Alters der CPUs eh keine wirklich effektive oder vielleicht höchstens 1-2 Jahre Lebenszeit der HW gekostet hat...weil nach ein paar Jahren das zeug eh am Ende ist und man mit nem Skylake auch ohne Patches wohl kaum noch nen Hering vom Teller zieht.
Aber so zu tun als hätte es überhaupt keinen Einfluss ist auch absurd.
Es sind für sich gesehen Nadelstiche, aber summiert sich halt doch auf.

Linux aktiviert standardmäßig viel mehr Mitigations als Windows (oder sie sind aus anderen Gründen teurer), die Ergebnisse sind nicht einfach 1:1 übertragbar.

https://www.phoronix.com/scan.php?page=article&item=spectre-bhi-retpoline&num=2

"In Light Of Spectre BHI, The Performance Impact For Retpolines On Modern Intel CPUs"

ouch!

vll die Scores einbinden statt nur Bashing?

Die Nutzung eines VPN und auch sonstiger Netwerkbasierter Anwendungen/Dienste ist ja wohl eher Standard geworden. (S4 HANA läuft in manchen Unternehmen komplett im Browser)

Gerade dabei würde ich keine spürbaren Unterschiede vermuten.

Und S4 HANA im Browser: Was soll das überhaupt bedeuten?

Aber ja, Datenbanken und generell IaaS-Anbieter haben mit solchen Peformance-Problemen noch am ehesten zu knabbern, weil da sowieso von Anfang overprovisioned wird.

vll die Scores einbinden statt nur Bashing?

ALARM, SKANDAL, MIMIMI :rolleyes:

vl einfach auf den Link klicken, anstatt mich blöd anmachen?

Und S4 HANA im Browser: Was soll das überhaupt bedeuten?


Das ist der Nachfolger von SAP R/3 und den gibts halt auch in der Cloud Ausführung.

Bis vor kurzem hab ich auch noch S4 HANA Systeme betreut und ganz ehrlich, S4 Hana ist nicht für x86 gemacht.

Da hast dann 6 TB RAM und der Kunde hat irgendwie Daten die 12 TB und mehr sind.
Da pfeiffen die Intel Systeme aus dem letzten loch. Trotz Optane mit 2 TB als Bootstrap Laufwerke hast unterumständen eine Startzeit der Datenbank von 1,5 bis 2 Stunden.


Mit Suse gabs nen Workshop, wo ganz klar die Empfehlung da war, schaut euch dringend PowerPC von IBM an da könnt ihr einfach mehr RAM CPU reinstecken. Das skaliert einfach besser.
Von den Problemen von den großen Kisten fang ich erst gar nicht an. S4 Hana saugt nur so Hardware auf.

Es gab Kunden die haben es in Azure reingeschoben, da waren sofort Tickets da zum Thema Performance. Azure einfach schlecht ist was IO/Disks an geht. CPU Leistung war nicht das Problem. Die VM sind so groß das du eh ne ganze CPU belegst.
Da hat Microsoft/SAP dann sich ne Lösung ausgedacht 4 Azure Disk zu einem LVM Stripe zusammen zu basteln. Problem Azure Disk können nur die größe anpassen wenn die VM ausgeschaltet ist. Das führt zu unschönen Downtimes wegen Plattenplatz groß ziehen.
Azure Netapp wollte auch nicht jeder bezahlen.


Die Kunden dort waren DAX Konzerne, große Schweizer Kunden etc.
Keiner hat sich für Meltdown & Spectre gekümmert. Selbst intern wurde dieses Thema von der IT Security nicht beleuchtet. Das bei einem SAP Managed Anbieter wo es wirklich um Milliarden Umsatze bei den Kunden ging.
Ich hatte da mal etwas tiefer gebohrt und die Aussage war RHEL/VMware kümmern sich ja um das Thema, da sind wir raus.

Ist ja auch durchaus valide. RedHat bietet dafür ja eigene Versionen an.

Aber mit x86 kommt man auch locker über 6TB. Man muss halt nur das richtige kaufen.

HPE Superdome FLEX zum Beispiel https://buy.hpe.com/de/de/servers/mission-critical-x86-servers/superdome-flex-servers/superdome-flex-server/hpe-superdome-flex-server/p/1010323140

Das geht bis 48TB brutto. Netto bleiben da immerhin wohl noch 47TB übrig. Das sollte dann durchaus passen. Gibt noch andere Anbieter. Mit ner simplen 2 Socket Büchse kommt man natürlich nicht weit. Geiz ist geil geht halt nicht für alles. Und bevor jetzt kommt, dass das ja mehrere Büchsen sind. Das ist bei Power auch so...


https://doc.zih.tu-dresden.de/jobs_and_resources/sd_flex/

Das ist der Nachfolger von SAP R/3 und den gibts halt auch in der Cloud Ausführung.

Das sollte für die Client-Anwendung (egal ob Browser oder was auch immer) aber keinen großen Unterschied machen. Die Daten und dicken Berechnungen finden ja nicht am Client statt. Ein VPN und ein paar Web-Interfaces werden keinen halbwegs modernen Laptop in die Knie zwingen, egal ob die Spectre-Mitigations an sind oder nicht.

Ist ja auch durchaus valide. RedHat bietet dafür ja eigene Versionen an.


Ja, die Mitigations werden da definitiv relativ zeitnah ankommen. Viel mehr als auf die Patches zu warten und dann schnell einzuspielen kann man eigentlich auch nicht machen.

Die Frage ist dann nur, ob die Infrastruktur mit den daraus resultierenden Leistungseinbußen noch eine annehmbare Leistung hinbekommt. SAP gibt relativ strikte Vorgaben zu der Hardware bei S4 Hana an, aber das sind ja alles Empfehlungen, welche die Leistungseinbußen nicht mit bedenken.

Das Problem hat man aber mit jedem Datenbanksystem und betrifft nicht nur S4 Hana.

AMD CPUs See Less Than 10% Performance Drop From Revised Spectre-v2 Mitigations
https://www.tomshardware.com/news/amd-cpus-see-less-than-10-performance-drop-from-revised-spectre-v2-mitigations

"However, the Ryzen 9 5950X held up pretty well besides that specific benchmark. There was only a 5.3% and 5% drop in networking and storage performance, respectively. In comparison, the Core i9-12900K (Alder Lake) experienced performance hits of 26.7% and 14.5% in the networking and storage department."

Intel 12900K Alder Lake droppt 26,7% bzw. 14,5% während Ryzen 9 5950x nur 5,3% bzw. 5% droppt.

Die Sprungvorhersage bei Intel ist mehr oder weniger Schrott.

*Thread ausbuddel*

"Zenbleed" Sicherheitslücke in Zen 2 CPUs von AMD. Microcode Update wird bereits verteilt:

https://lock.cmpxchg8b.com/zenbleed.html

It turns out that mispredicting on purpose is difficult to optimize! It took a bit of work, but I found a variant that can leak about 30 kb per core, per second. This is fast enough to monitor encryption keys and passwords as users login! We’re releasing our full technical advisory, along with all the associated code today. Full details will be available in our security research repository. If you want to test the exploit, the code is available here. Note that the code is for Linux, but the bug is not dependent on any particular operating system - all operating systems are affected!

Hmmm... nicht gut :frown:, aber danke für den Link. :up:

Was zum lesen: (use-after-free auf ooo-Hardware :-)

https://lock.cmpxchg8b.com/zenbleed.html

*Thread ausbuddel*

"Zenbleed" Sicherheitslücke in Zen 2 CPUs von AMD. Microcode Update wird bereits verteilt:

https://lock.cmpxchg8b.com/zenbleed.html


Die meisten Firmware updates sind erst für Ende des Jahres angesetzt, siehe:

https://www.tomshardware.com/news/zenbleed-bug-allows-data-theft-from-amds-zen-2-processors-patches-released

So wie sich das anhört, ist mit Performance Einbußen zu rechnen je nach workload.


AMD hasn't given specific details of any performance impacts but did issue the following statement to Tom's Hardware: “Any performance impact will vary depending on workload and system configuration. AMD is not aware of any known exploit of the described vulnerability outside the research environment.”

AMD's statement implies there will be some performance impact from the patches, but we'll have to conduct independent benchmarks when the patches arrive for the consumer Ryzen products.

Betrifft das nur Zen 2?

Weil

This technique is CVE-2023-20593 and it works on all Zen 2 class processors, which includes at least the following products:
[…]
AMD Ryzen 5000 Series Processors with Radeon Graphics


Und laut AMD (https://www.amd.com/en/processors/ryzen-5000-series) ist die 5000 Serie Zen 3.

Raff ich net! :c

Raff ich net! :c

Es gibt einige mobile Ryzen 5000, die kein Zen 3 sind.

Es gibt einige mobile Ryzen 5000, die kein Zen 3 sind.

Mir stellt sich da die Frage, warum er diese unpräzisen Marketingbezeichnungen ausdrücklich aufführt und nicht einfach beim anfänglichen "Zen 2" geblieben ist.:confused:

Zumindest die explizit zen2_somethingsomething benannten externen functionpointer in seinem Codebeispiel deuten auf Zen 2 only hin.

Mir stellt sich da die Frage, warum er diese unpräzisen Marketingbezeichnungen ausdrücklich aufführt und nicht einfach beim anfänglichen "Zen 2" geblieben ist.:confused:

Naja, kannst auch fragen warum die Hersteller so schräge Marketing-Bezeichnungen haben und teilweise Rebranding betreiben. Macht ja nicht nur AMD so.

Ich mein, steht ja nicht umsonst oben drüber:

This technique is CVE-2023-20593 and it works on all Zen 2 class processors, which includes at least the following products:

Welche Mikroarchitektur-Version deine CPU hat zeigt dir in der Regel kein Betriebssystem von Haus aus an, sondern nur den Produktnamen. Von daher ist die Liste schon nützlich. Ich z.B. wusste bis eben nicht, dass es Ryzen 5000 mit Zen 2 gibt. Jetzt weiß ich es, weil es explizit da stand.

Welche Mikroarchitektur-Version deine CPU hat zeigt dir in der Regel kein Betriebssystem von Haus aus an, sondern nur den Produktnamen. Von daher ist die Liste schon nützlich.

Ja, das ist einleuchtend.
Ist vermutlich auch einfacher lesbar, als z.b. so eine Auflistung (https://en.wikipedia.org/wiki/Table_of_AMD_processors).

Während übrigens vielerorts (etwa bei Golem) zu lesen ist, Zenbleed benötige lokalen Zugriff, schreiben die Qubes-OS-Macher (https://github.com/QubesOS/qubes-secpack/blob/main/QSBs/qsb-090-2023.txt), es reiche auch JS-Code via Browser:

In order to exploit this vulnerability, an attacker must be capable of executing code at any privilege level in any qube, e.g., JavaScript in a web browser. Moreover, the code to reliably exploit this vulnerability is publicly available. Accordingly, there is a high risk of this vulnerability being exploited in practice.

Cloudflare äußert sich ähnlich (https://blog.cloudflare.com/zenbleed-vulnerability/):

The attack can even be carried out remotely through JavaScript on a website, meaning that the attacker need not have physical access to the computer or server.

Sollte sich das bewahrheiten, wären Otto-Normal-Nutzer also auch von Zenbleed gefährdet. Weiß eigentlich jemand, wie man unter Windows das Chicken-Bit setzen kann? Mit BIOS-Updates für Consumer-Plattformen ist ja offenbar erst gegen Ende des Jahres zu rechnen. Und ob oder wann Microsoft vielleicht per Windows-Update Abhilfe schafft, weiß auch noch niemand.

Weiß eigentlich jemand, wie man unter Windows das Chicken-Bit setzen kann?
hiermit (https://github.com/cocafe/msr-utility) sollte das gehen aber keine ahnung wie die config dazu aussehen muss.

msr-cmd is something like wrmsr from Intel msr-tools in Linux world, which can be used in batch scripts.

Gestern Mittag kam schon ein Microcode Update gegen Zenbleed für Linux Mint raus. :)

MfG
Rooter

hiermit (https://github.com/cocafe/msr-utility) sollte das gehen aber keine ahnung wie die config dazu aussehen muss.

Danke. Schau ich mir mal an.

Achtung, hier kommt kein wesentlicher Diskussionsbeitrag, sondern einfach nur ein bisschen Herumnörgeln. Ich wurde jetzt innerhalb eines Jahres dreimal von CPU-Designoopsies getroffen:

Juli 2022: Retbleed. Das war unschön, aber zumindest kamen angepasste Kernel mit einem Mitigation-Workaround halbwegs zügig. Da sich unter Zen1 jedoch eine SMT-Angreifbarkeit nicht vernünftig umschiffen lässt, ist ein Athlon 3000G in den vorzeitigen Ruhestand versetzt worden, da mir 2C/2T dann doch auch für einen Wohnzimmer-PC zu knapp ist. Hatte aber einen Ryzen 2200G herumfliegen, den ich stattdessen einsetzen konnte. Keine Galavorstellung, aber naja.

Februar 2023: Bei Zen1 und Zen2 funktioniert die XSAVES-Instruktion nicht gänzlich zuverlässig (https://lkml.org/lkml/2023/2/22/33), weshalb der Linux-Kernel die Register nicht damit sichern sollte, wenn man nicht gaaaanz selten irgendeinen Mist in den AVX-Registern stehen haben möchte. Kein Problem, XSAVE (ohne S) funktioniert und macht für Zen1/Zen2 auch keinen wesentlichen Unterschied. Ein Fix im Kernel wird schnell eingebaut, nur sieht sich Ubuntu anscheinend nicht veranlasst, das in den eigenen LTS-Kernel zu übernehmen, so dass ich per Kernel-Bootparameter auf meinem Maschinen XSAVES deaktiviere.

Juli 2023: Zenbleed. AMD stellt für Linux Microcode-Updates bereit, aber nur für Epyc. Mein Ryzen PRO (hah!) 4750G ist aber kein Epyc, also hilft mir das nicht weiter. Im Linux-Kernel kommt schnell ein Fix, der bei altem Microcode an die Chicken-Bits geht, aber Ubuntu trödelt dann doch wieder mit dem LTS-Kernel, so dass auch Tage später das auf meinen Maschinen nicht automatisch geht. Also eigenes Skript in den Bootprozess eingebunden, um die Chicken-Bits zu setzen. Das kann dann wieder weg, wenn AMD sich anscheinend im Dezember (?!) dann dazu bequemt, Microcode per AGESA zu liefern.

Liebes AMD, liebes Intel: Ich habe den Eindruck, ihr habt die Komplexität eurer Produkte nicht wirklich im Griff und liefert halbgares Zeugs. Performance verkauft sich, Sorgfalt aber anscheinend nicht, solang Dinge nicht direkt in Flammen aufgehen.

Liebes Ubuntu: Wenn eure LTS-Kernel Sicherheits- und Zuverlässigkeitspatches aus dem Upstream-Kernel nicht innerhalb einer Woche übernehmen können, dann lasst es doch einfach und liefert Vanilla.

*grummel*

Ja auf der einen Seite ist Komplexität dein Feind, auf der anderen Seite wird es sehr schwer einen schnellen Prozessor zu bauen, der "simpel" ist. Letztendlich gibt's keinen Hersteller schneller CPUs der komplett fehlerfrei ist. Viele Fehler werden halt bereits vor dem Release ermittelt durch entsprechende Erratas vorher im Kernel "gefixt".

Was sich wirklich dringend bessern muss, ist die Verteilung von BIOS/Firmware Updates. Das ist immer noch eine ziemlich traurige Geschichte. Ich sitze bei meinem Notebook auch noch auf einer alten AGESA Version und kann praktisch nichts tun, um das zu ändern.

Ja, da spricht sicherlich auch einfach mein Frust heraus: Wir reden über Maschinen, die mehrere hundert Befehle gleichzeitig in unterschiedlichen Stadien der Bearbeitung jonglieren, wo dauernd Interrupts, Privilegienwechsel, Mispredictions und Cache-Misses einprasseln können und das Ganze auch noch hübsch kohärent für Multiprocessing sein soll. Es ist eine große Leistung, dass die Dinger überhaupt so gut funktionieren, dass ich das hier tippen kann.

Als Endkunde ärgert mich aktuell aber sehr, dass die Epycs schon gepatcht sind (ergibt ja wirtschaftlich Sinn für AMD), wir "normale Leute" aber jetzt Monate warten müssen, bis die Updates zu uns durchgedrungen sind. Auch für das XSAVES-Erratum gibt es bei den Epycs schon lange passenden Microcode, der aber bis jetzt nicht durchgehend für "normale" Systeme gestreut worden ist.

"INCEPTION" Sicherheitslücke in Zen 3 und Zen 4 basierten CPUs. Severity: Medium

https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7005.html

"Downfall" Sicherheitslücke in Intel CPUs von Skylake bis Tiger Lake. Severity: Medium

https://downfall.page/
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00828.html

Ist zen1 und 2 nicht betroffen? Mir ist das mit dem OS vendor hinweis nicht so ganz klar.

Aber geile Scheiß mal wieder....

"INCEPTION" Sicherheitslücke in Zen 3 und Zen 4 basierten CPUs. Severity: Medium

https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7005.html

Gibt leider keine Info zum Overhead .. :( und wie es mit den BIOS-Updates aussieht.

---

"Downfall" Sicherheitslücke in Intel CPUs von Skylake bis Tiger Lake. Severity: Medium

https://downfall.page/
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00828.html


[..]
[Q] What is the overhead for the mitigation?

[A] This depends on whether Gather is in the critical execution path of a program. According to Intel, some workloads may experience up to 50% overhead.
[..]


Mal sehen wo wir landen und wann die BIOS-Updates kommen.

... wir "normale Leute" aber jetzt Monate warten müssen, bis die Updates zu uns durchgedrungen sind.Hmm, ich habe aber am 25.7. für mein Linux Mint ein Microcode-Update bekommen in dem Zenbleed erwähnt wurde. :confused:

MfG
Rooter

Wobei nach wie vor die Sicherheitstechnische Relevanz für normale Anwender (nicht-Server-Betreiber) auch nicht massiv hoch ist. Die Sicherheitslücken sind unschön und sollten eher früher als später auch in Hardware angegangen werden, die Ausnutzbarkeit auf einem normalen System beim Endanwender ist allerdings so, dass ich deswegennun auch keine schlaflosen Nächte habe.

Hier treiben sich aber auch Leute um die hunderte, tausende, Zehntausende Server betreiben;)

Natürlich, deswegen unterscheide ich ja auch.
SavageX oben hatte sich aber konkret auf "normale Leute" und seine betroffenen Desktop-CPUs bezogen.

Sowohl Downfall als auch Zenbleed sind allerdings theoretisch auch per Browser-Exploit ausnutzbar. Daher ist das Risiko für Endanwender mittelfristig nicht so gering. Ich würde jedenfalls besser schlafen, wenn es zeitnah Fixes für meine Systeme gäbe. :wink:

https://forum.planet3dnow.de/index.php?threads/intel-arm-amd-sicherheitsl%C3%BCcken-meltdown-spectre-v1-v2-etc-links-in-post-1.429271/post-5447998
AMD Security Bulletin: https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7005.html#affected

Aus https://www.bleepingcomputer.com/news/security/new-inception-attack-leaks-sensitive-data-from-all-amd-zen-cpus/
AMD has received an external report titled ‘INCEPTION’, describing a new speculative side channel attack. AMD believes ‘Inception’ is only potentially exploitable locally, such as via downloaded malware, and recommends customers employ security best practices, including running up-to-date software and malware detection tools. AMD is not aware of any exploit of ‘Inception’ outside the research environment, at this time.
AMD recommends customers apply a µcode patch or BIOS update as applicable for products based on “Zen 3” and “Zen 4” CPU architectures. No µcode patch or BIOS update is necessary for products based on “Zen” or “Zen 2” CPU architectures because these architectures are already designed to flush branch type predictions from the branch predictor.
AMD plans to release updated AGESA™ versions to Original Equipment Manufacturers (OEMs), Original Design Manufacturers (ODMs) and motherboard manufacturers listed in the AMD security bulletin. Please refer to your OEM, ODM or motherboard manufacturer for a BIOS update specific to your product.

https://www.computerbase.de/2023-08/downfall-und-inception-neue-cpu-schwachstellen-gefaehrden-intel-und-amd-systeme/

Die Downfall-Mitigation kostet wohl "messbar" Performance, sagt selbst Intel (https://www.intel.com/content/www/us/en/developer/articles/technical/software-security-guidance/resources/gds-mitigation-performance-analysis.html).

Zen und Zen2 sind demnach "betroffen" aber schon "mitigiert", da man wegen der füheren Spectre(?)-Varianten sowieso den Flush des Branch predictors eingeführt hat. Also sollten Aktuelle BIOSe für diese CPU-Typen hier schon reichen.
EDIT: Windows-Systeme die von Inception betroffen sind haben aber wohl schon seit Juli die OS-seitige Mitigation aktivier:
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-23825

Phoronix hat Downfall schon getestet. Die Ansage "bis zu 50%" kommt schon hin: https://www.phoronix.com/review/intel-downfall-benchmarks

Wie sehr sich das jetzt in Real-World Anwendungen auswirkt, steht natürlich auf einem anderen Blatt.

AMD DIV0 speculation bug. Daten werden bei Zen 1 nach einer Division durch Null geleaked. Der Linux Kernel empfiehlt die Abschaltung von SMT für vollen Schutz.

https://www.phoronix.com/news/AMD-Zen1-Divide-By-Zero-Bug

Jetzt rollt mal wieder ne Welle an, oder was meint ihr?

Japp, 40% Leistungsverlust bei bestimmten Anwendungen incoming. :/

DIV/0 Bug scheint zwar auf dem Papier schlimme Auswirkungen zu haben.
Aber auf Phoronix meint jemand, das es in der Praxis kaum Relevanz haben dürfte.

Denn Programm anzugreifen die einen Div/0 Bug haben ist nahezu ausgeschlossen da die meisten Software-Kompilierer solche Bugs heutzutage eigentlich abfangen und gar nicht so ein Code auftaucht.

Der Workaround ist ja dann bei Div/0 Anfragen diese in der Tat praktisch doppelt auszuführen ("Dummy") - was ja die Performance kostet...nur wenn man eh keine/kaum DIV/0s hat dürfte der Impact eher bei 0% liegen.

https://www.phoronix.com/forums/forum/phoronix/latest-phoronix-articles/1402803-linux-lands-fix-for-amd-zen-1-bug-that-could-leak-data-after-a-division-by-zero
Siehe dazu den Kommentar von Vorpal.

Man sollte auch nicht vergessen, dass die meisten Mitigations in Linux am Anfang größere Performance-Einbußen mitgebracht haben, als nach ein paar Wochen-Monaten an Optimierungen.
Auch deswegen würde ich jetzt nicht in Panik verfallen.

Nö wegen Performance in Panik verfallen ist Blödsinn in meinen Augen. Es kostet halt was es kostet.

Es tut am Ende aber im Zweifel schon weh und bei 50% Verlust überlegt man es sich vielleicht nochmals.

Wenn ich als Endanwender auf einem privaten PC 10%+ Performance für eine mitigation gegen ein sehr unwahrscheinliches Szenario opfern muss überlege ich mir das unter Umständen durchaus.
Aber muss man wohl im Einzelfall betrachten, wenn man die Möglichkeit hat.

In den meisten Fällen hast du eh keine Kontrolle drüber. Viele Sachen werden letztenlich im Microcode gefixt und da hilft auch das OS-seitige abschalten der anderen Mitigations nicht viel. Phoronix hatte dazu auch diverse Benchmarks, dass das Abschalten dieser am Ende sogar teilwiese Leistung gekostet hatte, warum auch immer.

D.h. am Ende ist es vollkommen egal, ob man sich als gefährdet betrachtet oder nicht. Betroffen ist man am Ende trotzdem.

kostenlose sitzheizung dank amd drm break?

meWNtrZo5Mw

kostenlose sitzheizung dank amd drm break?
https://youtu.be/meWNtrZo5Mw

Hier gibts die Slides mit der Prozedur (https://www.blackhat.com/us-23/briefings/schedule/#jailbreaking-an-electric-vehicle-in-2023-or-what-it-means-to-hotwire-tesla39s-x86-based-seat-heater-33049).

Im Vergleich zu den Jailbbreaks am iPhone oder PS ist das ne ziemlich andere Nummer, rein vom Aufwand her.
(So ab Folie 50 rum)

Also erstmal das Mainboard aus dem Tesla ausbauen...dann an ganz bestimmten Pins 2 winzige Kabel anlöten...dann...und dann....und dann...usw.

Und irgendwann kann man dann die Sitzheizung "for free" aktivieren.

Phoronix hat Inception Mitigations (https://www.phoronix.com/review/amd-inception-benchmarks) auf AMD Systemen gebenched.

Der Effekt ist für Games praktisch 0%
Für normale Anwendungen im niedrigen einstelligen %Bereich

Für spezielle Workloads (z.B. Maria Database) geht es aber bis zu 20%/40% hoch.

Für diese Workloads besteht noch ein bisschen Optimismus, dass man dies durch Code-anpassungen in der Software nochmal deutlich drücken kann. (siehe dazu Diskussion im Kommentarbereich).

Für "Normalos" also kein allzu großer Grund zur Aufregen. Aber im Serverbereich, speziell bei Datenbanken ist das schon bemerkbar.

Downfall @Intel agiert da auf ähnlichem Niveau - sogar leicht schlimmer bei den allgemeinen Usecases, laut Intels eigenen Tests (https://www.intel.com/content/www/us/en/developer/articles/technical/software-security-guidance/resources/gds-mitigation-performance-analysis.html)(und Phoronix-Test (https://www.phoronix.com/review/intel-downfall-benchmarks/5) dazu).

MariaDB/PostgreSQL ist quasi Standard für den Großteil der Webanwendungen, da schlägsts schon ganz gut durch bei den Hosting-Providern wenns da keine Performance-Fixes gibt.

Für spezielle Workloads (z.B. Maria Database) geht es aber bis zu 20%/40% hoch.

Diese speziellen Workloads sind runtergebrochen: syscalls. Je mehr du davon machst, desto schlimmer wird es. Und Datenbanken machen davon verhältnismäßig viele.

In den meisten Fällen hast du eh keine Kontrolle drüber. Viele Sachen werden letztenlich im Microcode gefixt und da hilft auch das OS-seitige abschalten der anderen Mitigations nicht viel. Phoronix hatte dazu auch diverse Benchmarks, dass das Abschalten dieser am Ende sogar teilwiese Leistung gekostet hatte, warum auch immer.

D.h. am Ende ist es vollkommen egal, ob man sich als gefährdet betrachtet oder nicht. Betroffen ist man am Ende trotzdem.
Also ich habe bislang mit Ryzen 2000 keine Nachteile feststellen können und ich Bench ganz gerne mal inklu. dem "PES"

Was Linux angeht, hat man ohnehin die A-Karte, alleine schon das "Greenwithenvy" keine gescheite Alternative für den MSI Afterburner ist.
Grundprinzipiell geht es zwar, aber nach den Eingriffen die man an Ubuntu und anderen Distributionen die ich bisher getestet habe, dafür tun muss, ist das System ziemlich instabil.
Das geht von kannst dich nicht mehr Einloggen auf deinem System, bis komplett im Eimer und hast nurnoch das Terminal, lässt sich durchaus wieder "reparieren" aber dann sind die Settings auch wieder weg.
Ist halt blöd wenn die Graka nicht kann, was die können sollte, weil man es halt ja auch erfolgreich getestet hat.

Diese speziellen Workloads sind runtergebrochen: syscalls. Je mehr du davon machst, desto schlimmer wird es. Und Datenbanken machen davon verhältnismäßig viele.

Windows selbst ist blöderweise auch eine Datenbank ja, viele Datenbankprogramme, beruhen alleine schon darauf und verhalten sich entsprechend, beispielsweise schon abhängig oder wie abhängig vom Dateisystem, wie man es nunmal kennt, du kannst in einem Verzeichnis/Ordner nicht zwei Dateien drin haben mit exakt denselbigen Dateinamen inklu. Dateitypendung.

Aber so bei AMD, kann ich mit bislang nicht beschweren, die Agesa brachten immer Verbesserungen durchweg.
Es hatte sich bei den letzteren Agesa Versionen durch "PES" sogar aufgezeigt für mich das die Effizienz verbessert worden ist, dieselben Settings, dieselben Vorgaben für PBO, Randbedingungen gleich, dennoch effizienter.

Gruss Dennis

iLeakage https://ileakage.com/

WebKit im Zusammenhang mit Apple CPUs. Da Apple auf iOS ja jedem WebKit aufzwingt ist es auch egal welchen Browser man benutzt. Apple wusste davon seit September 2022.

iLeakage https://ileakage.com/

WebKit im Zusammenhang mit Apple CPUs. Da Apple auf iOS ja jedem WebKit aufzwingt ist es auch egal welchen Browser man benutzt. Apple wusste davon seit September 2022.

Geht sogar tiefer ...



Miscellaneous

What about other web browsers?

[..]

However, iOS has a different situation. Due to Apple's App Store and sandboxing policies, other browser apps are forced to use Safari's JavaScript engine. That is, Chrome, Firefox and Edge on iOS are simply wrappers on top of Safari that provide auxiliary features such as synchronizing bookmarks and settings. Consequently, nearly every browser application listed on the App Store is vulnerable to iLeakage.

AMD "CacheWarp". Betrifft jetzt nur AMD SEV, falls man das im VM Umfeld benutzt.

https://cachewarpattack.com/

https://www.golem.de/news/cachewarp-cpu-schwachstelle-gefaehrdet-amd-basierte-serversysteme-2311-179430.html

Intel "Reptar". Systemabsturz und möglicherweise Rechteausweitung

https://lock.cmpxchg8b.com/reptar.html

https://www.golem.de/news/reptar-intel-cpu-schwachstelle-ermoeglicht-rechteausweitung-und-dos-2311-179437.html

Kann mich noch erinnern: Im Jahr 2018 aufgewacht, es war eigentlich noch ruhige Jahresübergangs-Zeit - und dann schlugen Spectre & Meltdown zu. Und jetzt quält uns der Schmarrn immer noch!

Ja, man erinnere sich noch an Comedy-Aussagen aus 2018, dass Sprungvorhersage im Ende sei usw. Und es betrifft immer noch nur "Cloud-Anbieter" (im weiteren Sinne).

Kann mich noch erinnern: Im Jahr 2018 aufgewacht, es war eigentlich noch ruhige Jahresübergangs-Zeit - und dann schlugen Spectre & Meltdown zu. Und jetzt quält uns der Schmarrn immer noch!

Die Sache ist eher, dass Meltdown und Spectre dafür gesorgt haben, dass Leute überhaupt angefangen haben dort nachzuschauen. Oder anders gesagt: Firmen wie Google geben jetzt sogar aktiv Geld dafür aus, danach zu suchen. Das gab es halt vorher in dem Umfeld nicht in dem Umfang.

Und da heißt es dann eigentlich nur: "Wer sucht, der findet".

... und es wurde (und wird) gefunden. In einem Maßstab, den man sich nicht hätte vorstellen können.

Ja, man erinnere sich noch an Comedy-Aussagen aus 2018, dass Sprungvorhersage im Ende sei usw. Und es betrifft immer noch nur "Cloud-Anbieter" (im weiteren Sinne).
Fing das nicht eigentlich schon mit Row Hammer an, richtig Fahrt aufzunehmen? Zumindest kommt es mir so vor.

Fing das nicht eigentlich schon mit Row Hammer an, richtig Fahrt aufzunehmen? Zumindest kommt es mir so vor.

Das hat mit der CPU an sich nichts zu tun, wenn man mal hier schaut:
https://de.wikipedia.org/wiki/Rowhammer#:~:text=Rowhammer%20bezeichnet%20einen%20Konstruktionsfehler%20bei,der artige%20Ver%C3%A4nderungen%20bestimmter%20Bits%20z.

zitat:
Rowhammer bezeichnet einen Konstruktionsfehler bei Speicherbausteinen, bei denen sich bestimmte Bits im Arbeitsspeicher (DRAM) ohne Schreibzugriff auf diese verändern lassen. Dieser Fehler ermöglicht es einem Angreifer in der Theorie, durch derartige Veränderungen bestimmter Bits z. B. Sicherheitsvorkehrungen zu umgehen. Der erste auf diesem Effekt basierende praktische Angriff wurde im März 2015 durch Mark Seaborn, Matthew Dempsky und Thomas Dullien einer breiten Öffentlichkeit bekannt. Mark Seaborn gelang nach eigenen Angaben das Ausnutzen der Schwachstelle auf 15 von 29 Laptops.

Gruss

Gibt es eigentlich mittlerweile tatsächlich durchgeführte Angriffe auf Basis der diversen Lücken, bei denen größerer Schaden entstanden ist?
Software-Lücken, schlecht Konfigurierte Server, sowie kaum bis gar nicht gesicherte Datenbanken scheinen mir nach wie vor das deutlich größere Risiko...

Das Problem ist ja nicht, dass jemand durch diese Lücken angegriffen hat, sondern, dass diese Angriffe bewiesen möglich sind. Und wenn du Daten in irgend einer VM bei irgend einem Anbieter lagerst, willst ja auch nicht, dass dein "VM-Nachbar" diese Daten über diese Mittel auch lesen kann.

Wenn du das unbeachtet lässt, dann brauchst du nicht lange darauf warten, dass jemand das ganze auch tatsächlich erfolgreich benutzt. Das fällt dann in die Kategorie "Software-Lücken"

Eine weitere Runde Lücken in AMD CPUs aus diversen Generationen:

Diverse Prozessoren listet AMD als betroffen auf. Etwa die für Data Center gedachten EPYC-CPUs von der ersten bis zur vierten Generation, Desktop-CPUs Ryzen der 3000er bis 7000er-Reihe, Threadripper aus den 3000er- und 5000er-Baureihen sowie die Mobilprozessoren der Athlon 3000er-Reihe und Mobile Ryzen 3000er- bis 7000er. Auch Embedded-Prozessoren der EPYC- und Ryzen-Marken zählt AMD zu den verwundbaren CPUs.

https://www.heise.de/news/AMD-meldet-zahlreiche-Sicherheitsluecken-in-Prozessoren-9628343.html

Ich werde nicht ganz schlau aus den Meldungen, was genau ist denn da nun los/betroffen?
Es geht wohl um Lücken bei einem theoretischen BIOS-Update Vorgang oder sowas?

Also dinge wie remote access und so sind damit nicht möglich?

Steigt bei den Erklärungen hier jemand mehr durch?
https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7009.html

Es geht darum, dass du als Angreifer über diese Lücken ggf. im BIOS des Systems rumschreiben kannst.

Es geht darum, dass du als Angreifer über diese Lücken ggf. im BIOS des Systems rumschreiben kannst.

Ja schon, aber UM überhaupt einen dieser Angriffe ausführen zu können muss ich physisch vor dem Rechner sein und ein "Bios-Flash" update triggern, welches dann eben den Security Breach hat, wonach man dann anderen Code ausführen lassen kann oder wie? Oder versteh ich das nicht richtig?

Also mit BMC musst du definitiv keinem physischen Zugriff für ein BIOS Update haben.

Und auch ansonsten sind solche Sachen an sich auch aus dem OS raus machbar.

Die Frage ist halt folgende. Wie viel Zugriff brauche ich bereits? Für Cloud Anbieter könnte das schon kritisch sein. Ein Kunde bekommt ne VM und baut sich ne Backdoor ins BIOS die nicht erkannt werden kann auf OS Level.

Da ist davon auszugehen, dass das sehr lange unentdeckt bleiben kann, selbst wenn man aktiv sucht.

Gleiches Problem halt wahrscheinlich auch für alle anderen. Du hast einen Angreifer auf dem System, der baut sich aber ein rootkit ins BIOS ein und lässt die Kiste rebooten um seine Sputen zu verwischen. Tjo und dann hast du ihn drauf.

Im Rahmen des Prace Hacks vor ein paar Jahren hatte ich Vermutungen in die Richtung gehört gehabt. Also das sich der Angreifer im BIOS oder so eingenistet hatte. Der Cluster wurde komplett platt gemacht sind neu aufgesetzt. Der Angreifer war aber wohl nach einer gewissen Zeit dann wieder da.

Da der Cluster eh bald außer Betrieb genommen werden sollte, also <6 Monate, hat man ihn dann einfach ausgelassen und verschrottet...

Also ich würde so was jetzt nicht als unkritisch betrachten. Allein vielleicht ja, aber es sind ja die Komvbinationen von Lücken die einem dann so richtig das Genick brechen...

Oder versteh ich das nicht richtig?

So ziemlich alle Lücken in diesem Thread bedingen, dass du in der Lage bist auf dem Zielsystem Code auszuführen. Bei einigen reicht JavaScript im Browser bei anderen musst du bereits Admin auf dem System sein.

Die Sache ist eben, dass "Admin auf dem System" auch schlicht dein System in einer VM bei einem Hoster sein kann und dann hast du einen praktischen VM Escape oder du bringst die ganze Maschine zum Absturz.

Oder Alternativ, wie Skysnake sagte, dass du dich auf BIOS/EFI Level ins System einnistest und z.B. Daten ausspionierst.

OK, verstehe. Da man heutzutage ja die BIOS-Flashes direkt aus dem OS heraus triggern kann, kann man das natürlich auch sozuagen über eine laufenden "Anwendung"...

Das ist natürlich dann schon kritisch.

Hoffentlich kosten die Fixes keine Performance...

Leistungseinbußen bei sowas wären aber merkwürdig, das betrifft ja nur ein paar Pfade zum Sicherheitsprozessor bzw Firmware/Flash.

Diese Lücken sind schon seit mehreren A.G.E.S.A. Versionen gefixt. Bisher hat sich keiner über Performanceverluste beschwert:

https://www.heise.de/news/AMD-CPU-Sicherheitsluecken-Erste-BIOS-Updates-stehen-bereit-9629613.html

bei AM4 ist die Agesa für die 4000G/5000G gerade erst fertig, bei allen anderen in der Regel mit Bios ab Spätherbst 23 erledigt

Diese Lücken sind schon seit mehreren A.G.E.S.A. Versionen gefixt. Bisher hat sich keiner über Performanceverluste beschwert:

https://www.heise.de/news/AMD-CPU-Sicherheitsluecken-Erste-BIOS-Updates-stehen-bereit-9629613.html


Ach dann waren das die Lücken mit den BIOS-Updates z.B. letzten Oktober:
https://www.msi.com/Motherboard/X570-A-PRO/support
AMI BIOS7C37vHM2023-10-20
Description:
- AGESA ComboAm4v2PI 1.2.0.B update.
- AMD security issue patch.
- Support new Ryzen 5000 CPU.

Na gut, ist schon seit November im System eingespielt :-).

Sicherheitslücke in Apple CPUs die Keys leaken kann https://arstechnica.com/security/2024/03/hackers-can-extract-secret-encryption-keys-from-apples-mac-chips/

https://gofetch.fail/

Sicherheitslücke in Apple CPUs die Keys leaken kann https://arstechnica.com/security/2024/03/hackers-can-extract-secret-encryption-keys-from-apples-mac-chips/

https://gofetch.fail/

Da haben sie mal wieder unüberlegt einen prefetcher eingebaut. Lässt sich wohl in m1 & m2 nicht patchen. mit m3 lässt sich das wohl noch umgehen mit Leistungsverlust.

Unschön für Apple wenn so an die Schlüssel kommt und das ohne Admin Rechte. Bin echt erstaunt das es nicht höhere Wellen in den Medien schlägt.

[immy;13513658']Bin echt erstaunt das es nicht höhere Wellen in den Medien schlägt.

Ja ich auch - das ist eigentlich wie Meltdown auf Steroiden und diesmal OHNE Patchmöglichkeit.

Eigentlich müsste Apple alle NOCH in Betrieb befindlichen M1 M2 kostenneutral für sichere Varianten tauschen.

Muss der Angreifer physischen Zugriff auf das Gerät haben oder geht das auch aus der Ferne?

Muss der Angreifer physischen Zugriff auf das Gerät haben oder geht das auch aus der Ferne?

Bislang, soweit bekannt muss es von dem Gerät aus erfolgen. Aber dann sind eher keine Grenzen mehr gesetzt.

Naja, Apple User kaufen sich doch eh jedes Jahr ein neues Gerät, der "M4" hat dann eventuell diese Lücken nicht mehr. ;)

[immy;13513913']Bislang, soweit bekannt muss es von dem Gerät aus erfolgen.
Danke, dann stört mich das nicht.

[immy;13513913']Bislang, soweit bekannt muss es von dem Gerät aus erfolgen.

Das kann auch ein Browser-Tab sein, welches Webassembly-Code geladen hat.

Browser verhindern m.W. bisher diese Art von Angriffen, indem der Angriffscode auf keine genau Timer Funktion zurück greifen kann und sogar ein Jitter zur abgefragten Zeit hinzugefügt wird.

AMD "Sinkclose":

https://www.wired.com/story/amd-chip-sinkclose-flaw/


In a statement shared with WIRED, AMD acknowledged IOActive's findings, thanked the researchers for their work, and noted that it has “released mitigation options for its AMD EPYC datacenter products and AMD Ryzen PC products, with mitigations for AMD embedded products coming soon.”


https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7014.html

SMM-Sicherheitslücken gibt es ja schon einige.
Das Lustige hier ist, daß es offenbar kein Bug sondern dokumentiertes Verhalten ist, was dazu führt, der CPU kompromittierten Code unterschieben zu können.
Für Alle Epycs sowie Alles im Desktop/Notebook ab Ryzen 4000 gibt es offenbar bereits entsprechende BIOS/µCode-Updates (für den embedded Bereich ist es für Oktober angekündigt).

Hat im engeren Sinne übrigens nichts mit dem Thema von Sicherheitsrisiken durch Spekulation zu tun.

AMD "Sinkclose":

https://www.wired.com/story/amd-chip-sinkclose-flaw/



https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7014.html

Passt eigentlich nicht hier in den Thread, da in meinen Verständnis keine Spekulative Attacke sondern ein Angriff auf die Firmware / Management Code der CPU ist und es sich einfach um ein Bug in dieser handeln kann (gibt ja noch keine Details). Das hatten wir auch schon früher bei anderen Produkten von der Konkurrenz oder z.B. Management Software für Firmen HW (z.b. HP Laptops) haben auch immer mal wieder mir sowas zu kämpfen.

M.E. ist folgendes wichtig:

[..]
In a background statement to WIRED, AMD emphasized the difficulty of exploiting Sinkclose: To take advantage of the vulnerability, a hacker has to already possess access to a computer's kernel, the core of its operating system. AMD compares the Sinkhole technique to a method for accessing a bank's safe-deposit boxes after already bypassing its alarms, the guards, and vault door.
[..]


Das macht es nicht weniger schlimm, sondern scheint faktisch ein permanentes Einbringen von Schadsoftware zu ermöglichen.

https://x.com/GameGPU_com/status/1822323492613693620

Der Vortrag ist in 45 Minuten, da weiß man dann mehr.

Aber wenn das ein "Guest Memory Vulnerability" ist

Dann kann man sich bei AWS einen kleinen Guest mieten, der auf einem großen System liegt, die Boundary durchbrechen und zack ist man im Ring -2.

Wenn das nicht in Richtung Supergau geht, dann weiß ich nicht was sonst.

Dann: CVE 2023 weißt drauf hin, dass es 2023 gemeldet wurde.

Ein Windows-Programm, mit Admin-Rechte updated das BIOS.
Okay das lasse ich mir eingehen - das mag dokumentiert sein.

Aber vom Guest aus Firmware abändern -> nicht business as usual.

Dann kann man sich bei AWS einen kleinen Guest mieten, der auf einem großen System liegt, die Boundary durchbrechen und zack ist man im Ring -2.Ich vermute doch mal stark, daß AWS ihre Maschinen vernünftig wartet, so daß die Lücke inzwischen bereits geschlossen wurde. Der Fix dafür ist immerhin bereits seit dem 3. Mai verfügbar (für die Zen4 Epycs seit dem 4. April).

Na ja, nur weil AMD ein neues AGESA rausbringt, mit irgendwelchen meist irrelevanten und/oder undokumentierten Neuerungen drin, heisst das ja nicht dass dieses sofort eingespielt wird.
Wieso auch, könnten ja auch Bugs drin sein die man nicht auf seinen bis anhin stabilen Systemen haben will.

Interessant - hab gleich mal auf der Homepage von meinem Mobohersteller geguckt.




https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-36877
** RESERVED ** This candidate has been reserved by an organization or individual that will use it when announcing a new security problem. When the candidate has been publicized, the details for this candidate will be provided.

??? Was das wohl ist

Btw. der SMM Lock Bypass ist hier zu lesen:
https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7014.html

Hat im engeren Sinne übrigens nichts mit dem Thema von Sicherheitsrisiken durch Spekulation zu tun.

Ich wollte dafür nicht extra einen Thread aufmachen. Deshalb habe ich es hier, bei den anderen Sicherheitsrisiken abgeladen.

Na ja, nur weil AMD ein neues AGESA rausbringt, mit irgendwelchen meist irrelevanten und/oder undokumentierten Neuerungen drin, heisst das ja nicht dass dieses sofort eingespielt wird.
Wieso auch, könnten ja auch Bugs drin sein die man nicht auf seinen bis anhin stabilen Systemen haben will.Deswegen werden solche Updates stufenweise ausgerollt (erst ein paar Maschinen und wenn es keine Probleme gibt auf immer mehr). Und bevor man damit auf Kundensystemen überhaupt anfängt, hat man ein paar Maschinen extra rumstehen, auf denen man das einspielt und testet. Amazon ist sicher groß genug, daß die das doch wohl ordentlich geplant haben. Ich meine, sogar unser IT-Department hier testet z.B. OS-Updates (typischerweise ~2 Wochen), bevor die an die (ein paar tausend) Büro-PCs ausgerollt werden.

Und Du kannst Dir sehr sicher sein, daß AMD nicht einfach kommentarlos die AGESA-Updates und µCode-Updates an die großen Serverbetreiber/Cloud-Provider gegeben hat. Die kürzlich erfolgte Veröffentlichung der Beschreibung ist ja mit AMD koordiniert (damit Zeit ist, um die Updates bereitzustellen und auch schon auszurollen). AWS und andere Server-/Cloudanbieter haben ab Anfang April (Zen4-Epycs) bzw. Mai (alle anderen Epycs) die µCode-Updates bekommen (die AGESA-Updates, die diese ebenfalls beinhalten kamen etwas später), wo AMD sicher dazu gesagt hat, wie wichtig die sind (keine genaue Beschreibung der Lücke, aber eine Klassifizierung der Schwere) und bis wann die eingespielt sein sollten.
Die µCode-Updates sind zudem "hot-loadable", d.h. die können auf den laufenden Systemen eingespielt werden. Dies werden die Cloudbetreiber wie AWS die letzten Monate (nach entsprechenden Tests und stufenweise) bereits getan haben. Das AGESA-Update wird vermutlich dann bei Gelegenheit eingespielt (wenn irgend eine andere Wartung ansteht).
Wenn Du glaubst, daß solche Größen wie AWS das einfach 3-4 Monate lang vor sich herschieben und nichts tun, dann wirfst Du denen grobe Inkompetenz vor.

Interessant - hab gleich mal auf der Homepage von meinem Mobohersteller geguckt.

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-36877
** RESERVED ** This candidate has been reserved by an organization or individual that will use it when announcing a new security problem. When the candidate has been publicized, the details for this candidate will be provided.

??? Was das wohl istEin Fix für eine andere Schwachstelle, die dann vielleicht in ein paar Monaten publiziert wird. Dann haben hoffentlich viele den Fix schon drauf, wenn öffentlich wird, was man dort wie ausnutzen konnte.

Irgendwie kommt da gerade wenig und alle beziehen sich auf die erste Meldung von Wired.com aber keiner zitiert direkt den Inhalt des Vortrags.

Ich bin gerade ehrlich überrascht, warum da nicht mehr kommt, sind alle Journalisten im Urlaub?

Die Sicherheitslücke Sinkclose nimmt sich ja einen Teil seines Namens aus der Sicherheitslücke Sinkhole.

Sinkclose und Sinkhole gehen beide auf den System Management Mode los.

https://www.silicon.co.uk/security/memory-sinkhole-attackers-intel-174583

Und ja man konnte mit Sinkhole (Achtung das ist die Beschreibung von Sinkhole von 2015) von einem Guest-OS aus an die Firmware ran.

“This provides ring 0 code a small, indirect influence over SMM, and violates the fundamental architectural separation of the two execution modes,” Domas wrote in a paper released with the presentation. “The course granularity of the APIC position, combined with the inability to effectively control the APIC data, make the vulnerability extremely difficult, but not impossible, to apply in practice.”

Domas said he was able to design proof-of-concept code that makes use of this weakness to hijack System Management Mode, so that malicious code runs with SMM privileges. The attack was validated with “select” processor models, he said.

Die beiden Sicherheitsforscher jetzt konnten ihren Proof-of-Concept auf allen EPYC, Ryzen, Embedded CPUs der vergangenen 10 Jahre laufen lassen.

Ein jeder IaaS-Anbieter sollte sofort, wirklich sofort handeln.

In USA bekommen die CISO der Top500 Firmen vorneweg Briefings zu Sicherheitslücken.
Die wissen in der Regel Wochen oder Monate früher bescheid.
Trotzdem kann ich mir vorstellen, dass die Kommunikationswege kompromitiert sein könnten und dadurch auch Black-Hats früher Infos erhalten.

Laut fefe braucht man superuser-Rechte um das ausnutzen zu können. Und wenn ein Angreifer superuser-Rechte hat dann ist diese Lücke auch egal.

In der Cloud hat man üblicherweise Superuser-Rechte, allerdings in einer cloudspezifisch virtualisierten Machine.

Hängt dann davon ab ob die Virtualisierungslösung der Cloud das gegenüber dem Host abfängt oder überhaupt abfangen kann.

Jeder verantwortungsvolle Cloudanbieter sollte das schon gepatcht haben. Der µCode-Fix steht für Epycs seit über 4 Monaten (Zen4) bzw. 3 Monaten (ältere Epycs) bereit.

Geh mal auf Hetzner.de

Dort dann auf den Punkt "Cloud"

Dort dann auf "shared vCPU AMD"

Dort eine Instanz mieten, dort dann ein eigenes Ubuntu von Dezember 2023 reininstallieren (dort hast du Superuser Rechte und keine Mitigation im Guest-OS).

Und dann kann einer, der den 'Proof Of Concept' hat testen, ob die Firma Hetzner schon aktiv Gegenmaßnahmen ergriffen hat.

Dafür muss man 5 Euro ausgeben.


Dann kann man zu Hosteurope gehen und das gleiche bei denen ausprobieren.


Und wenn du dann die Boundary von Guest zu Host durchbrechen kannst, dann brennt die Luft, weil alle anderen Guests auf diesem Server in gefahr sind.

Desweiteren (bei dedicated Server):
In der ASP.Net-Welt gab es die Telerik-Controls.
Diese wurden hoffnungslos gehighjackt.
Da wurden Brückenköpfe reininstalliert (im Ring0), dass es nur so kracht (einige schlummern bis heute und warten nur darauf aktiviert zu werden).

Dann die alten ungeschützten 2013er Exchange-Server.
Oder 2016er Exchange, wo man nicht schnell genug die Security-Updates eingespielt hat.

Kann sein, dass schlummernde Brückenköpfe auf das hin jetzt erst so richtig loslegen, weil sie sich unumkehrbar als Rootkit in Hardware reinbrennen können.

Ich war als externer Beobachter dabei, wie sie bei Hetzner Spectre und Meltdown-Mitigations einspielten. Und derartige/vergleichbare Outages habe ich von Juni bis jetzt noch nicht mitbekommen, die kommen meiner Ansicht erst noch.

Für den hotload µCode Patch braucht es keinen Reboot oder Shutdown des Systems.

Den Exchange Schweizer Käse und Spectre mit einer "Rogue Admin" Lücke, die nur mit vorhandenen Root-Rechten ausnutzbar ist, zu vergleichen ist halt einfach Humbug. Daher hat es auch nichts zu suchen in diesem Thread.

Für den hotload µCode Patch braucht es keinen Reboot oder Shutdown des Systems.

1. das Hotload ist wohl nur für unvirtualisierte Kisten gedacht.
Sprich du hast einen z.B. Hetzner-Bare-Metal-Server laufen und darauf wird dann der hot patch eingespielt.

Xen hat noch nichts:

https://xenbits.xen.org/xsa/


Proxmox hat noch nichts:
https://forum.proxmox.com/threads/proxmox-and-%E2%80%AFamd-sb-7014.152631/


Debian hat das in einer Beta/nightly, aber noch nicht released:
https://security-tracker.debian.org/tracker/CVE-2023-31315

Sind die Pakete von AMD überhaupt schon in das BIOS der einzelnen Mainboard-Hersteller drin?
Gefixed ist es mit ComboAM5PI 1.2.0.1

https://www.asus.com/de/motherboards-components/motherboards/proart/proart-x670e-creator-wifi/helpdesk_bios?model2Name=ProArt-X670E-CREATOR-WIFI

Im Asus ProArt X670E steckt die Version Combo AM5 PI 1.2.0.0a Patch A
Also in einer Firmware-Version vom 05.08.2024 steckt der Sicherheits-Patch von einer Lücke, die im Oktober 2023 gemeldet wurde noch gar nicht drin?


In der Firmware Version von den Genoa-Mainboards steht mit keiner Silbe drin, dass das Update dringend notwendig ist:
https://www.supermicro.com/Bios/softfiles/21481/H13SSL_BIOS_1_9_release_notes.pdf


Wäre ich ein Sicherheitsforscher, ich wäre Stinksauer.
Und wäre der Forscher bei Google Project Zero ( z.B. Tavis Ormandy ), dann würde das Ding ganz anders abgehen.

1. das Hotload ist wohl nur für unvirtualisierte Kisten gedacht.Warum sollte das so sein?
Xen hat noch nichts:
https://xenbits.xen.org/xsa/
Proxmox hat noch nichts:
https://forum.proxmox.com/threads/proxmox-and-%E2%80%AFamd-sb-7014.152631/
Debian hat das in einer Beta/nightly, aber noch nicht released:
https://security-tracker.debian.org/tracker/CVE-2023-31315Dir ist schon klar, daß man so ein µCode-Update auch manuell einspielen kann und nicht auf so ein Update warten muß, oder?
Sind die Pakete von AMD überhaupt schon in das BIOS der einzelnen Mainboard-Hersteller drin?
Gefixed ist es mit ComboAM5PI 1.2.0.1

https://www.asus.com/de/motherboards-components/motherboards/proart/proart-x670e-creator-wifi/helpdesk_bios?model2Name=ProArt-X670E-CREATOR-WIFI
Im Asus ProArt X670E steckt die Version Combo AM5 PI 1.2.0.0a Patch A
Also in einer Firmware-Version vom 05.08.2024 steckt der Sicherheits-Patch von einer Lücke, die im Oktober 2023 gemeldet wurde noch gar nicht drin?Den OEMs stehen die passenden AGESA-Updates zur Integration in ihre BIOS-Versionen zur Verfügung. Consumer ist wohl nicht so wichtig wie die Epycs* ;). Hatten wir nicht von Amazon Web Services und Cloudanbietern geredet?

*: Die Prioritätenliste kann man ja aus den Releasedaten der Fixes ableiten und lautet ganz offensichtlich Epyc>Client>Embedded.
In der Firmware Version von den Genoa-Mainboards steht mit keiner Silbe drin, dass das Update dringend notwendig ist:
https://www.supermicro.com/Bios/softfiles/21481/H13SSL_BIOS_1_9_release_notes.pdfUnd glaubst Du, daß das der Umweg der Kommunikation ist, die z.B. AWS von AMD dazu erhalten hat?
Und immerhin siehst Du dort, daß in einem empfohlenen BIOS-Update vom Mai der Fix bereits enthalten ist.
Und wäre der Forscher bei Google Project Zero ( z.B. Tavis Ormandy ), dann würde das Ding ganz anders abgehen.Warum sollte das so sein? AMD hat die Fixes für Server vor 3-4 Monaten bereitgestellt, für Clients sind sie noch recht frisch, Embedded ist angekündigt. Jetzt liegt es bei den Anbietern und OEMs (bei den großen Serveranbietern sollten die das halt schon in den letzten Monaten erledigt haben), daß das entsprechend umgesetzt wird.
Was ist denn Dein Vorschlag? Daß jetzt Alle panisch rumlaufen?

Den Exchange Schweizer Käse und Spectre mit einer "Rogue Admin" Lücke, die nur mit vorhandenen Root-Rechten ausnutzbar ist, zu vergleichen ist halt einfach Humbug. Daher hat es auch nichts zu suchen in diesem Thread.

Natürlich verkettest du Lücken hintereinander - ich verstehe den Post nicht?

Du steigst in ein System mit ungepatchtem Druckerspooler ein und danach saust du mit anderen Sachen im Werkzeugkasten so richtig rum.

Meinst du Blackhat ist Gentlemen-Sport?

Hängt dann davon ab ob die Virtualisierungslösung der Cloud das gegenüber dem Host abfängt oder überhaupt abfangen kann.
Da die CVE "nur" einen Score von 7.5 hat, ist da mit Garantie nix zu holen aus einer VM heraus. (wäre das der Fall, gäbe es einen Score von 9.8 bis 10.0)

Von daher ist diese Lücke tatsächlich nicht so tragisch, weil man zum Ausnutzen eh schon Admin sein muss.
Problem dahinter ist somit eher, dass man einen Hack damit ziemlich persistent und schwer erkennbar platzieren kann. Das ist dann vor allem für längerfristige Spionagezwecke interessant

Ausser für BareMetal Services anbieten, siehe ich hier auch nicht so das Problem für Cloudhoster und so.
Das Szenario dort sieht ja vor allem so aus, dass man sich so für einen Tag einen solchen Server mietet, die Schadsoftware in der SMM platziert und dann hoft dass anschliessend ein anderer Kunde dieses System zugewiesen bekommt.

Nochmal:

Die Lücke Sinkclose wurde in Anlehnung an die Lücke Sinkhole genannt.
In der Lücke Sinkhole kommst du im Guest-OS an das SMM-Register und manipulierst es.

https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7014.html

Und AMD schreibt auf ihrer eigenen Seite
Guest Memory Vulnerabilities

!!GUEST!!

Dann schauen wir mal weiter

Synology mit Great Horned Owl (z.B. DS1621+)
AMD Ryzen Embedded V1500B

Die bekommen erst im Oktober Patches von AMD.

Synology hat auch wirklich noch nix gemacht.

https://www.synology.com/de-de/releaseNote/DSM?model=DS1621%2B#7_2

Diese Kisten sind auch mal gerne gegen das Internet Exponiert.

Diese Kisten sind auch mal gerne gegen das Internet Exponiert.Mit Root-Rechten?
Wenn jemand außer Dir aus dem Netz heraus Root-Zugriff auf Dein NAS hat, ist es sowieso zu spät.

Und wie oben schon geschrieben sind AMDs Prioritäten sehr offensichtlich: Server > Client > Embedded.

Dieses "Guest Memory" bezieht sich nicht auf Guest VMs die auf einem Hypervisor laufen...

Maximal vorstellbar für mich - um aus einer VM heraus etwas anstellen zu können, wäre daher eine PCI passthrough Konfiguration bei einer VM, wo die VM dann tatsächlich direkt? Zugriff auf die entsprechende Hardware hat und mittels Treiber-Shenanigans was basteln könnte.

Sorry, aber in den letzten 5 Jahren wurden jetzt Synology und Qnap schon jeder jeweils zweimal großangelegt gekapert (Root-Rechte).

Wir mussten hier schon Kunden von uns benachrichtigen.

Und wenn das jetzt so auskommuniziert ist(Patch kommt erst im Oktober), dann klebt auf den Synology und QNAP eine Zielscheibe drauf.


@Birdman
nein, dass ist normaler Funktionsumfang - also nicht VT-D und dann eine NIC oder vGPU.

Sorry, aber in den letzten 5 Jahren wurden jetzt Synology und Qnap schon jeder jeweils zweimal großangelegt gekapert (Root-Rechte).

Wir mussten hier schon Kunden von uns benachrichtigen.

Und wenn das jetzt so auskommuniziert ist(Patch kommt erst im Oktober), dann klebt auf den Synology und QNAP eine Zielscheibe drauf.Sich auf einem NAS aus dem Internet heraus Root-Rechte zu beschaffen, ist generell immer eine Zielscheibe. Daran ändert das Ding jetzt nicht wirklich was (und hilft auch nicht).

Machen wir es ganz konkret:

Eine QNAP TS-673A (hat great horned owl) mit Patchlevel Dezember 2023.
Exponiert zum Internet.


Zack root rechte.

Danach Sinkclose drauf und BIOS so manipuliert, dass nach dem reparieren der NAS gleich wieder Schadcode reingeladen wird.

Zack SuperGAU

Und weil da so viel baugleiches Zeug unterwegs ist, kann da ein richtiges Botnetz gebaut werden.

Mit Root-Rechten?


egal(glaub ich), da:


In der Lücke Sinkhole kommst du im Guest-OS an das SMM-Register und manipulierst es.

Nochmal:

Die Lücke Sinkclose wurde in Anlehnung an die Lücke Sinkhole genannt.

Da ist auch deine Logiklücke. Aus der Benennung ziehst du falsche Schlüsse über Gemeinsamkeiten der verschiedenen Exploits.

egal(glaub ich), da:Die Lücke erfordert Ring0-Zugriff (Kernel-Mode) im Gast-OS (User-Mode ist Ring 3, Ringe 1 und 2 meist ungenutzt, Hypervisor wäre Ring -1, der SMM Ring -2, intels ME oder AMDs PSP kann man als Ring -3 ansehen, wenn man möchte). Es muß Dir also bereits möglich sein, Deinen eigenen (bösartigen) Code auf diesem Level (Ring0) auszuführen, bevor die Lücke ins Spiel kommt. Ohne Root-Rechte (oder weitere Lücken) ist das meist schwierig, einem OS sowas unterzuschieben (und Windows verlangt z.B. seit geraumer Zeit eine Signatur für Kernel-Mode-Treiber, so daß es nicht mehr ganz so einfach über einen manipulierten Treiber geht; unter Linux sollte man das mit Root-Rechten aber vermutlich einfach hinbekommen, ein entsprechendes Kernel-Modul hinzuzufügen).
Und wer nagelt sein NAS nicht fast völlig zu (nur sehr restriktiver Zugang aus dem Internet, wenn überhaupt)?

https://www.bleepingcomputer.com/news/microsoft/microsoft-shares-temp-fix-for-broken-windows-server-2022-vms/

Ein Schelm, wer böses dabei denkt.
Der Patch war im November 2023.

https://www.bleepingcomputer.com/news/microsoft/microsoft-shares-temp-fix-for-broken-windows-server-2022-vms/

Ein Schelm, wer böses dabei denkt.
Der Patch war im November 2023.Da hat Microsoft einen kaputtes Update ausgeliefert, wodurch einige VM-Sachen nicht mehr funktionierten. Zusammenhang?

Soll ich dir das Konzept von nested Virtualization erklären?

Und soll ich dir erklären was das mit Ring 0 zu tun hat?

Soll ich dir das Konzept von nested Virtualization erklären?

Und soll ich dir erklären was das mit Ring 0 zu tun hat?Das Konzept ist mir bekannt. Nur was hat ein kaputtes MS-Update, was Virtualisierungssoftware (teilweise) zerschießt, hier im Thread verloren?

Fette Remote-Code-Execution-Sicherheitslücke im IPV6-Stack in diesem Patchtag repariert:

https://x.com/XiaoWei___/status/1823532146679799993

Da jetzt dahinter noch eine Rechte-Ausweitung und dahinter dann noch Sinkclose.

What a time to be alive

Ja, Software mit Sicherheitslücken gibt es an jeder Ecke.

Ich bitte trotzdem darum, wieder zum Thema des Threads zu kommen.