Sicherheitsfirma rechtfertigt Offenlegung von AMD-CPU-Lücken

CTS Labs stößt nur zufällig auf die Anfälligkeiten. Sie sind nach Ansicht des Unternehmens jedoch so einfach zu finden, dass die Öffentlichkeit davon erfahren muss. Zudem bestätigen weitere Sicherheitsforscher die Ergebnisse von CTS Labs.

Ilia Luk-Zilberman, Chief Technology Officer von CTS Labs, hat in einem offenen Brief (PDF) die Offenlegung von 13 Sicherheitslücken in CPUs von AMD gerechtfertigt. Seiner Ansicht nach sind die Fehler in den Prozessoren des Intel-Konkurrenten nicht nur zahlreich, sondern auch so einfach zu finden, dass die Öffentlichkeit ein Recht hat, davon zu erfahren. „Ich finde wirklich, dass es schwer zu glauben ist, dass wir die einzige Gruppe weltweit sind, die diese Anfälligkeiten kennt, vor allem, wenn man sich die heutigen Täter anschaut, wo wir nur eine kleine Gruppe von sechs Forschern sind.“

AMD Prozessor-Lücken (Bild: CTS-Labs)Eigentlich habe sein Unternehmen nach Fehlern in Controller-Chips des Herstellers ASMedia gesucht und dabei eine vom Hersteller implantierte Hintertür gefunden, die eine vollständige Kontrolle der Chips erlaube. „Wir wollten mit unseren Ergebnissen an die Öffentlichkeit gehen, haben dann aber festgestellt, dass AMD seine Chipsätze an ASMedia outgesourct hat. Also haben wir entschieden, AMD zu überprüfen, haben einen Ryzen-Computer gekauft und unseren Exploit-Code ausgeführt. Er funktionierte einwandfrei – vollständiger Lese- und Schreibzugriff auf dem AMD-Chipsatz, so wie er ist und ohne Veränderungen. Um ehrlich zu sein, wir waren schockiert.“

Danach beschäftigte sich CTS Labs dem Brief zufolge intensiver mit den AMD-Prozessoren und entdeckte eine Sicherheitslücke nach der anderen. „Keine komplexen, verrückten Logik-Fehler, sondern grundlegende Fehler“, so Luk-Zilberman weiter. „Ab dann fanden wir jede Woche eine neue Anfälligkeit, nicht nur in einem bestimmten Bereich, sondern in allen Bereichen und Sektionen des Chips. Es gibt so viele Anfälligkeiten, du musst einfach nur forschen und findest etwas.“ Luk-Zilberman räumt ein, dass dies seine persönliche Einschätzung ist.

Darüber hinaus kritisierte er das heute etablierte System der „verantwortungsvollen Offenlegung“ von Sicherheitslücken. Es überlasse es dem Hersteller, alleine zu entscheiden, ob die Öffentlichkeit vor Verfügbarkeit eines Patches über ein mögliches Risiko informiert werde oder nicht. Zudem sei es nach Ablauf einer Frist üblich, die Schwachstelle mit allen technischen Details offenzulegen, was definitiv ein Risiko für die Kunden darstelle. „Warum soll der Kunde dafür bezahlen, dass der Anbieter nicht rechtzeitig reagiert“, stellte Luk-Zilberman das System in Frage.

„Ich glaube, der bessere Weg wäre, die Öffentlichkeit direkt zu informieren, dass es Anfälligkeiten gibt und welche Folgen sie haben. Und die technischen Details niemals zu veröffentlichen, bevor die Lücke geschlossen wurde“, heißt es in dem Brief. Das setze den Hersteller dem Druck der Öffentlichkeit aus, ohne jemals die Sicherheit des Kunden zu riskieren.

Genau diese Vorgehensweise wählte CTS Labs für die insgesamt 13 Sicherheitslücken in Ryzen- und Epyc-Prozessoren von AMD, was in den vergangenen Tagen für hitzige Debatten in der Sicherheits-Community sorgte. Der Linux-Erfinder Linus Torvalds ging sogar so weit, dass er CTS Labs mindestens indirekt unterstellte, es wolle mit der Offenlegung den AMD-Aktienkurs manipulieren.

Wie Bleeping Computer berichtet, stellte sich inzwischen der namhafte und anerkannte Sicherheitsforscher Alex Ionescu auf die Seite von CTS Labs. „Ich habe die technischen Details gesehen und es sind echte Design- und Implementierungsfehler“, twitterte er am Donnerstag. Der Umgang der Medien mit der Angelegenheit verhindere jedoch eine ernsthafte Diskussion.

Zudem kritisierte er Äußerungen, wonach die Fehler nicht schwerwiegend seien, weil sie nur von Nutzern mit Administratorrechten ausgenutzt werden könnten – also von Personen, die bereits einen vollständigen Zugang zu einem System haben. Die Schwachstellen erlaubten es einer Schadsoftware, sich noch tiefer in einem System einzunisten, und zwar im sicheren Bereich der CPU, wo Sicherheitsanwendungen sie nicht finden oder erreichen könnten. Diese Bereiche seien normalerweise für Angreifer unerreichbar – auch mit Administratorrechten.

Einen Fehler räumte Luk-Zilberman jedoch ein: Es wäre wohl besser gewesen, die Fehler von mehr unabhängigen Sicherheitsforschern überprüfen zu lassen. „Im Nachhinein betrachtet hätten wir das besser mit 5 Drittanbietern gemacht, um jegliche Zweifel zu beseitigen. Da haben wir fürs nächste Mal was gelernt.“

Tipp: Wie gut kennen Sie sich mit Prozessoren aus? Überprüfen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Themenseiten: AMD, Epyc, Prozessoren, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Sicherheitsfirma rechtfertigt Offenlegung von AMD-CPU-Lücken

Kommentar hinzufügen
  • Am 16. März 2018 um 10:53 von Klaus der Kritische

    Die machen sich lächerlich. Wenn ich Administratorrechte nhabe, dann kontrolliere ich das System gesamtheitlich (ausser bei Windows 10, da hat sich Microsoft zum Herrscher ernannt).

    Dann kann ich gute Dinge tun, oder das System eben total kontaminieren, und zur Malwareschleuder umformen.

    Solche ‚Sicherheitslücken‘, die aufzeigen, was man mit Administratorrechten anstellen kann, sind keine Sicherheitslücken‘, sondern einfach Möglichkeiten, um das System als Schnüffelsystem umzuformen. WENN man der Administrator ist.

    Im Übtigen ist diese ‚Sicherheitsfirma‘ insgesamt sehr obskur, und dass sie ausgerechnet an AMD meint ein sich bewährtes Vorwarnsystem ad akta legen zu müssen, das ist m.E. mehr als verdächtig. Linus hat mit seiner Vermutung sicher nicht unrecht. Ich würde gar behaupten: sponsored by Intel. Aber das ist nur eine Vermutung von mir, die ich nicht belegen kann.

    Man sollte nicht jedes Unternehmen, das sich ‚Sicherheitsfirma‘ nennt, auch tatsächlich ‚Sicherheitsfirma nennen.

    Wenn diese dann vorab ihre ‚Erkenntnisse‘ an Shortseller verkauft, stinkt das gewaltig:

    CTS executives told Reuters that they had shared their findings with some clients who pay the firm for proprietary research on vulnerabilities in computer hardware. They declined to identify their clients or say when they had provided them with data on the vulnerability.

    “I can’t really talk about my clients,” said Yaron Luk-Zilberman, chief financial officer at the firm that was founded in January 2017.

    „Short-seller Viceroy Research published a 25-page report on the vulnerabilities on Tuesday, betting its shares will fall.„
    https://goo.gl/EthSCD

  • Am 17. März 2018 um 23:18 von C

    CTS hat (leider) valide Lücken gefunden – da muss/sollte AMD ran.

    Unabhängig davon ist jedoch Voraussetzung, dass man Root-Rechte am System erlangt hat. Wenn man Root-Rechte hat, dann braucht es keine CPU-Fehler um Schaden anzurichten. Insofern relativiert sich das etwas, was aber AMD nicht aus der Haftung entlässt.

    Das Ganze kommt einem vor, als ob Intel dieses gesponsort hat. Wobei beim Chipset (ASMedia) und USB andere geschlampt haben. Hier sollten auch Intel-Motherboards von den Fehlern betroffen sein.
    Da kommt doch die parallele Meldung von Meltdown und Spectre freien neuen Intel-CPUs zufällig zur rechten Zeit.

    Das Nicht-Einhalten von Vorlauf-Zeiten tut sein übriges – um an eine Markt-Manipulation und Gewinn-Streben aus den Fehlern zu glauben. Seriös ist anders, auch wenn die Fehler bestehen.

    Und – was ist mit den Patches für die älteren CPUs (>5 Jahre)?
    Bislang hat weder Intel noch AMD hier geliefert. Und es gibt viele Systeme, die noch produktiv laufen!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *