Sicherheitsfirma rechtfertigt Offenlegung von AMD-CPU-Lücken

Ilia Luk-Zilberman, Chief Technology Officer von CTS Labs, hat in einem offenen Brief (PDF) die Offenlegung von 13 Sicherheitslücken in CPUs von AMD gerechtfertigt. Seiner Ansicht nach sind die Fehler in den Prozessoren des Intel-Konkurrenten nicht nur zahlreich, sondern auch so einfach zu finden, dass die Öffentlichkeit ein Recht hat, davon zu erfahren. „Ich finde wirklich, dass es schwer zu glauben ist, dass wir die einzige Gruppe weltweit sind, die diese Anfälligkeiten kennt, vor allem, wenn man sich die heutigen Täter anschaut, wo wir nur eine kleine Gruppe von sechs Forschern sind.“

Eigentlich habe sein Unternehmen nach Fehlern in Controller-Chips des Herstellers ASMedia gesucht und dabei eine vom Hersteller implantierte Hintertür gefunden, die eine vollständige Kontrolle der Chips erlaube. „Wir wollten mit unseren Ergebnissen an die Öffentlichkeit gehen, haben dann aber festgestellt, dass AMD seine Chipsätze an ASMedia outgesourct hat. Also haben wir entschieden, AMD zu überprüfen, haben einen Ryzen-Computer gekauft und unseren Exploit-Code ausgeführt. Er funktionierte einwandfrei – vollständiger Lese- und Schreibzugriff auf dem AMD-Chipsatz, so wie er ist und ohne Veränderungen. Um ehrlich zu sein, wir waren schockiert.“

Danach beschäftigte sich CTS Labs dem Brief zufolge intensiver mit den AMD-Prozessoren und entdeckte eine Sicherheitslücke nach der anderen. „Keine komplexen, verrückten Logik-Fehler, sondern grundlegende Fehler“, so Luk-Zilberman weiter. „Ab dann fanden wir jede Woche eine neue Anfälligkeit, nicht nur in einem bestimmten Bereich, sondern in allen Bereichen und Sektionen des Chips. Es gibt so viele Anfälligkeiten, du musst einfach nur forschen und findest etwas.“ Luk-Zilberman räumt ein, dass dies seine persönliche Einschätzung ist.

Darüber hinaus kritisierte er das heute etablierte System der „verantwortungsvollen Offenlegung“ von Sicherheitslücken. Es überlasse es dem Hersteller, alleine zu entscheiden, ob die Öffentlichkeit vor Verfügbarkeit eines Patches über ein mögliches Risiko informiert werde oder nicht. Zudem sei es nach Ablauf einer Frist üblich, die Schwachstelle mit allen technischen Details offenzulegen, was definitiv ein Risiko für die Kunden darstelle. „Warum soll der Kunde dafür bezahlen, dass der Anbieter nicht rechtzeitig reagiert“, stellte Luk-Zilberman das System in Frage.

„Ich glaube, der bessere Weg wäre, die Öffentlichkeit direkt zu informieren, dass es Anfälligkeiten gibt und welche Folgen sie haben. Und die technischen Details niemals zu veröffentlichen, bevor die Lücke geschlossen wurde“, heißt es in dem Brief. Das setze den Hersteller dem Druck der Öffentlichkeit aus, ohne jemals die Sicherheit des Kunden zu riskieren.

Genau diese Vorgehensweise wählte CTS Labs für die insgesamt 13 Sicherheitslücken in Ryzen- und Epyc-Prozessoren von AMD, was in den vergangenen Tagen für hitzige Debatten in der Sicherheits-Community sorgte. Der Linux-Erfinder Linus Torvalds ging sogar so weit, dass er CTS Labs mindestens indirekt unterstellte, es wolle mit der Offenlegung den AMD-Aktienkurs manipulieren.

Wie Bleeping Computer berichtet, stellte sich inzwischen der namhafte und anerkannte Sicherheitsforscher Alex Ionescu auf die Seite von CTS Labs. „Ich habe die technischen Details gesehen und es sind echte Design- und Implementierungsfehler“, twitterte er am Donnerstag. Der Umgang der Medien mit der Angelegenheit verhindere jedoch eine ernsthafte Diskussion.

Zudem kritisierte er Äußerungen, wonach die Fehler nicht schwerwiegend seien, weil sie nur von Nutzern mit Administratorrechten ausgenutzt werden könnten – also von Personen, die bereits einen vollständigen Zugang zu einem System haben. Die Schwachstellen erlaubten es einer Schadsoftware, sich noch tiefer in einem System einzunisten, und zwar im sicheren Bereich der CPU, wo Sicherheitsanwendungen sie nicht finden oder erreichen könnten. Diese Bereiche seien normalerweise für Angreifer unerreichbar – auch mit Administratorrechten.

Einen Fehler räumte Luk-Zilberman jedoch ein: Es wäre wohl besser gewesen, die Fehler von mehr unabhängigen Sicherheitsforschern überprüfen zu lassen. „Im Nachhinein betrachtet hätten wir das besser mit 5 Drittanbietern gemacht, um jegliche Zweifel zu beseitigen. Da haben wir fürs nächste Mal was gelernt.“

Tipp: Wie gut kennen Sie sich mit Prozessoren aus? Überprüfen Sie Ihr Wissen – mit dem Quiz auf silicon.de.