Forum Datorkomponenter Processorer, moderkort och minnen AMD Tråd Inlägg

AMD Sinkclose säkerhetshål

1 2 3 4 5
Skriv svar
Permalänk
Medlem
Skrivet av stoffe_83:

Har jag förstått det hela rätt att det skulle gå att installera programvara på själva processorn även om den blir strömlös?

Finns det ens något sådant utrymme att lagra programvara i en cpu eller har jag missförstått detta?

Gå till inlägget

Inte på själva processorn, men säkerhetshålet gör det möjligt att exekvera kod i SMM-läge där man har tillgång till saker som inte ens OS:et har. Det kan göra det möjligt att t.ex. installera ett rootkit i BIOS/UEFI som är halvt omöjligt att upptäcka eller bli av med.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av stoffe_83:

Har jag förstått det hela rätt att det skulle gå att installera programvara på själva processorn även om den blir strömlös?

Finns det ens något sådant utrymme att lagra programvara i en cpu eller har jag missförstått detta?

Gå till inlägget

Mjae inte i CPU:n men finns ju non volatile minne som flaset BIOS/UEFI laddas ifrån, sen finns det i CPU ett specielt minnes område som SMM använder som inte kan nås av varken OS eller någon software. Så ja ganska läskig potential i ett malware ...

"https://en.wikipedia.org/wiki/System_Management_Mode"

"Only opening a computer's case, physically connecting directly to a certain portion of its memory chips with a hardware-based programming tool known as SPI Flash programmer and meticulously scouring the memory would allow the malware to be removed, Okupski says."

Visa signatur

ASUS M4A89GTD PRO/USB3 | AMD Phenom2 X6 1055T|GB GF GTX 460 | Corsair 4GB | SSD 40GB Intel X25-M | HD500GB Seagate ST3500418AS | |HD2TB Seagate ST2000DL003 | Corsair TX 650W PSU | Fractal Design Define R3

Redigera
Citera flera Citera
Permalänk
Medlem

Passande att AMD har en ny plattform man kan uppdatera till.

Redigera
Citera flera Citera
Permalänk
Medlem

Hur kan AMD ha förbisett detta i nästan tjugo år?

Redigera
Citera flera Citera
Permalänk
Medlem

Detta kan altså utnyttjas av tex ett virus? Låter dock som ev ganska svår process?
Frågan som alla såklart ställer sig: hur många % prestada förlorar jag med fixen installerad?

Visa signatur

Ryzen 9800X3D @ Stock, MSI Suprim X 3080 @ game mode.
YT kanal där jag meckar bilar: https://www.youtube.com/@saab900turbo9

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Dinkefing:

Hur kan AMD ha förbisett detta i nästan tjugo år?

Gå till inlägget

It's not a bug it's a feature.

Redigera
Citera flera Citera
Permalänk
Medlem

Att trycka in skadlig kod på den "nivån" gör det ju väldigt svårt att upptäcka att något är fel men det är ju inget nytt.

Men det jag är osäker på här är om de menar att man från en virtualiserad gäst (som typ också är i ring 0, typ som sagt) kan komma åt minnet hos hosten genom att gå via SMM och att det är helt osynligt för hosten?

Som vanligt, har man rootaccess eller fysisk tillgång till hårdvaran så är det ju lite "all bets are off" men bara för att man har rootaccess på en gäst så ska man ju inte kunna nå hostens data.

Men det handlar ju om en funktion för att mappa om minne här så det lär ju vara lätt för experterna att fixa. Sen dår man ju se hur det blir i praktiken på äldre system.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Dinkefing:

Hur kan AMD ha förbisett detta i nästan tjugo år?

Gå till inlägget

Rent generellt så är det ju ofta väldigt lätt att förbise något som ur det egna perspektivet förmodligen handlar om något långsökt händelseförlopp som inte borde vara relevant utifrån funktionen man byggt och som man inte haft någon särskild anledning att fundera på... Och om det är något som varit orört i 20(?) år så har det väl snarast blivit mer osannolikt för varje år att någon funderar på det.

Min känsla är att den mer relevanta frågan handlar om när vi får mer omfattande och mer systematisk extern granskning av viktiga system. För rent praktiskt är det ju ofta det som krävs för att någon expert med kritisk blick och minimalt förutfattad mening ska titta på sakerna.

Det är ju generellt hela problemet när det finns en bugg, ett säkerhetshål, vad det nu må vara för defekt; det har oavsiktligt uppstått ett glapp mellan avsikten och implementationen. Det glappet kan ofta vara allra svårast att se för den som skapat implementationen i första läget, är väl medveten om avsikten och "vet" att det är detta som implementationen gör.

Visa signatur

Desktop: Ryzen 5800X3D || MSI X570S Edge Max Wifi || Sapphire Pulse RX 7900 XTX || Gskill Trident Z 3600 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Redigera
Citera flera Citera
Permalänk
Medlem

Spännande, på riktigt! 😈

Visa signatur

Chassi: Fractal Meshify Skärm: LG C2 oled GPU: 6950XT CPU: 5800X3D SSD: 480GB, M2 3TB PSU: Dark Power Pro 1,5KW Mobo: TUF GAMING X570-PLUS RAM: 32GB Ripjaws @ 3600MT Mus: Logitech G502X Matta: Steelseries QcK Heavy Tbord: Logitech MX Mech Mini Lurar: DT1990 Pro OS: Win10Pro AI: Tascam 20x20 Monitorer: Yamaha HS7 Router: Wyse 5070 @ opnsense WIFI: Ubiquiti U7 Pro Switch: Zyxel 2.5Gbit. Citera när ni svarar! :)

Redigera
Citera flera Citera
Permalänk
Medlem

Undra om 9000 serien också har det...

Visa signatur

Live for fun, Loyal to none

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av blue eyed devil:

Undra om 9000 serien också har det...

Gå till inlägget

Antagligen inte. AMD fick veta om buggen för 10 månader sedan, så de har haft tid att fixa den i 9000-serien innan den släpptes.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av SuperNova:

Att trycka in skadlig kod på den "nivån" gör det ju väldigt svårt att upptäcka att något är fel men det är ju inget nytt.

Men det jag är osäker på här är om de menar att man från en virtualiserad gäst (som typ också är i ring 0, typ som sagt) kan komma åt minnet hos hosten genom att gå via SMM och att det är helt osynligt för hosten?

Som vanligt, har man rootaccess eller fysisk tillgång till hårdvaran så är det ju lite "all bets are off" men bara för att man har rootaccess på en gäst så ska man ju inte kunna nå hostens data.

Men det handlar ju om en funktion för att mappa om minne här så det lär ju vara lätt för experterna att fixa. Sen dår man ju se hur det blir i praktiken på äldre system.

Gå till inlägget

Verka som de så VMM endast är - 1. Finns ju fix men kräver bios update och problemet är ju många äldre system inte får updates. Dock är de nog inte privatpersoner som bör vara oroliga de är lite overkill och finns mängder med andra sårbarhet som är enklare att nyttja och nå ring 0 räcker i 99% i dessa fall för deras syften

Visa signatur

ASUS M4A89GTD PRO/USB3 | AMD Phenom2 X6 1055T|GB GF GTX 460 | Corsair 4GB | SSD 40GB Intel X25-M | HD500GB Seagate ST3500418AS | |HD2TB Seagate ST2000DL003 | Corsair TX 650W PSU | Fractal Design Define R3

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av muscle:

Dock är de nog inte privatpersoner som bör vara oroliga de är lite overkill och finns mängder med andra sårbarhet som är enklare att nyttja och nå ring 0 räcker i 99% i dessa fall för deras syften

Gå till inlägget

Om man loggar in på sin bank, sköter fonder och aktier, och eller har lokala krypto plånböcker på sin dator. Så är det högst relevant. Alla nyttjar inte bara sin dator till att spela spel och skriva något enstaka word dokument.

Redigera
Citera flera Citera
Permalänk
Medlem

Ska man tolka det som att Ryzen 1-2000 serien är drabbad men inte nämns? Det gjordes ju ganska stora ändringar mellan 1,2 och 3000 serien. (TPM stöd m.m. hos den sistnämnda) så går att tolka också som att de inte är drabbade

Visa signatur

Ryzen 9 5950X, 32GB 3600MHz CL16, SN850 500GB SN750 2TB, B550 ROG, 3090 24 GB
Har haft dessa GPUer: Tseng ET6000, Matrox M3D, 3DFX Voodoo 1-3, nVidia Riva 128, TNT, TNT2, Geforce 256 SDR+DDR, Geforce 2mx, 3, GT 8600m, GTX460 SLI, GTX580, GTX670 SLI, 1080 ti, 2080 ti, 3090 AMD Radeon 9200, 4850 CF, 6950@70, 6870 CF, 7850 CF, R9 390, R9 Nano, Vega 64, RX 6800 XT
Lista beg. priser GPUer ESD for dummies

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Omnious:

Om man loggar in på sin bank, sköter fonder och aktier, och eller har lokala krypto plånböcker på sin dator. Så är det högst relevant. Alla nyttjar inte bara sin dator till att spela spel och skriva något enstaka word dokument.

Gå till inlägget

Det han menar är att den här sårbarheten bara gör att man kan plantera virus som är svåra att hitta / ta bort. Viruset måste dock in på datorn i vanlig ordning, precis som allt annat - Om du får ett vanligt virus genom att öppna en infekterad PDF, eller vad som helst, så kommer det för en privatperson vara precis lika farligt som om det är ett virus som lägger sig som rootkit - Du är "körd" i bägge fallen precis lika mycket.

Får du virus så får du virus och då är det klippt, är det som gäller får privatpersoner, så att säga.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Dumsnuten:

Nja. Det finns värre nivår än rootaccess. T.ex. kan du genom en maskin knäcka ett helt Datacenter med en sådan här sårbarhet.

Edit: I och med att denna sårbarhet är nere på hårdvarunivå borde den kunna "bryta sig ur" en virtuell maskin.

Gå till inlägget

Du missförstår lite för jag var otydlig. Varför ska jag personligen bry mig. Tar någon sig in så djupt i min dator så märker jag inget förrän de gjort allt de kan göra ändå. Så jag kommer inte ens försöka installera om för att bli av med det.
Och nja, det är vi kernel du tar steget vidare in i firmware, virtuella maskiners kernel arbetar väl inte på samma nivå som hostmaskinens?

Skrivet av Erik_T:

Man bryr sig därför att till skillnad från de flesta säkerhetshål, så låter det här en attackerare att installera skadlig kod som inte går att bli av med ens om man ominstallerar hela systemet från scratch.

Det kan man normalt inte göra ens om man kör som root/administratör.

Gå till inlägget

Min poäng var att de har gjort allt de kan göra som kan skada mig innan jag ens vet att jag behöver installera om. De kan redan där dölja allt de gör.

Redigera
Citera flera Citera
Permalänk
Medlem

Eftersom moderkortstillverkaren släpper bios-uppdateringen så kan tex även de med en cpu från 5000-serien bli utan fix om tillverkaren anser att moderkortet är för gammalt för att ödsla tid och pengar på...

Redigera
Citera flera Citera
Permalänk
Medlem

Hur ser det ut med processorer sålda i 2a hand?

Kan man lägga in malware på hårdvaran och utnyttja det på den nya ägaren?

Visa signatur

| ASUS ROG Crosshari VIII Dark Hero | AMD Ryzen 5950X | Noctua D15 Chromax | G.Skill TridentZ Royal Gold 32GB DDR4 @ 3600Mhz CL14 | Palit GeForce RTX 2080 Ti 11GB GamingPro OC | 2x WD SN850 1TB @RAID 0 + 2x Samsung 860 EVO 1TB @RAID 0 | Corsair HX 1000W | Corsair Obsidian 1000D | LG 34'' 34GN850 |

Monitor Audio Platinum PL100 II + Advance Paris X-P500 + Advance Paris X-A160
Klipsch R-115SW
Sennheiser HD650

Redigera
Citera flera Citera
Permalänk
Medlem

Går det att detektera med någon programsnutt att man blivit utsatt för detta? Känns tråkigt att behöva skrota min Ryzen 3800X om det inte behövs.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Ernesto:

Det han menar är att den här sårbarheten bara gör att man kan plantera virus som är svåra att hitta / ta bort. Viruset måste dock in på datorn i vanlig ordning, precis som allt annat - Om du får ett vanligt virus genom att öppna en infekterad PDF, eller vad som helst, så kommer det för en privatperson vara precis lika farligt som om det är ett virus som lägger sig som rootkit - Du är "körd" i bägge fallen precis lika mycket.

Får du virus så får du virus och då är det klippt, är det som gäller får privatpersoner, så att säga.

Gå till inlägget

Skillnaden är att det här kan göra virus omöjligt att få bort, så man i princip får kasta en stor del av datorn om det sker. Sådana virus är inte nya, men det är trist om det här skulle göra dom lättare att implementera.

Redigera
Citera flera Citera
Permalänk
Medlem

Om den legat oupptäckt i 20 år känner troligtvis inga bad guys till den heller. Det är väl något avancerat säkerhetslabb som upptäckt den. Fast nu när "hemligheten" är ute lär väl folk försöka ta reda på hur man utnyttjar det.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Kwirek:

Skillnaden är att det här kan göra virus omöjligt att få bort, så man i princip får kasta en stor del av datorn om det sker. Sådana virus är inte nya, men det är trist om det här skulle göra dom lättare att implementera.

Gå till inlägget

Detta är en fråga från någon som har noll koll men skulle det inte räcka med att byta moderkort och nolla hårddisken?

Visa signatur

Blank

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Dinkefing:

Hur kan AMD ha förbisett detta i nästan tjugo år?

Gå till inlägget

Det kan vara någon lösning för speciella styrkor...

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av lasseTM:

Detta är en fråga från någon som har noll koll men skulle det inte räcka med att byta moderkort och nolla hårddisken?

Gå till inlägget

Såvitt jag förstått det skulle det räcka.

Redigera
Citera flera Citera
Permalänk
Medlem

Kan någon förklara. Förstod jag det rätt att det alltså finns minneskretsar direkt på CPU där man kan lagra den skadliga koden? Och som förblir lagrade även om man bryter strömmen för kretsen?

Visa signatur

|ASUS Z170-A||6700K@4.6Ghz||Corsair H50 Scythe GT 1450RPM PnP||16GB Crucial DDR4 2133Mhz@2800Mhz||MSI RTX 3070||Crucial P3 2TB||Corsair HX 1050W||Fractal Design - Define R2 Black Pearl|Citera för svar
Fotoblogg: PlanetStockholm

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Aleshi:

Du missförstår lite för jag var otydlig. Varför ska jag personligen bry mig. Tar någon sig in så djupt i min dator så märker jag inget förrän de gjort allt de kan göra ändå. Så jag kommer inte ens försöka installera om för att bli av med det.
Och nja, det är vi kernel du tar steget vidare in i firmware, virtuella maskiners kernel arbetar väl inte på samma nivå som hostmaskinens?

Min poäng var att de har gjort allt de kan göra som kan skada mig innan jag ens vet att jag behöver installera om. De kan redan där dölja allt de gör.

Gå till inlägget

En VM exekverar dock fortfarande direkt mot CPUn. Hypervisorn har alltså inte kontroll vad VM:en faktiskt gör "mot CPUn". Ett annat exempel är Meltdown, där kunde du läsa av andra VMar m.m. även fast du satt i en Virtuell Maskin och den byggde på att du har access mot hårdvaran.

Visa signatur

öh öh har den äran!

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av BrottOchStraff:

Kan någon förklara. Förstod jag det rätt att det alltså finns minneskretsar direkt på CPU där man kan lagra den skadliga koden? Och som förblir lagrade även om man bryter strömmen för kretsen?

Gå till inlägget

Nej inte direkt på CPUn. Däremot kan koden exeveras på CPU:ns subsystem och sedan tekniskt sett spara sig själv någonstans i UEFI bioset på moderkortet och sedan köra sig själv därifrån utan att synas av OS.

Redigera
Citera flera Citera
Permalänk
Medlem

Jesus... Är det här inte sweclockers? Klarar folk inte längre av lite mer avancerad datavård? (Sett till hur många som inte klarar av mer än en launcher för sina spel så är det nog värre än så...)

Men:

https://winraid.level1techs.com/t/guide-how-to-use-a-ch341a-s...

Utrustningen som behövs, är i sig, inte särskilt dyr. Alls. Runt 200 kr på amazon.

https://www.amazon.se/s?k=CH341A

Verkar dock som om att göra det hela under windows inte är den bästa idéen och att man behöver köra Linux... Och använda sig av terminalen... Så där föll hela den här möjligheten....

Så nog bäst för de flesta att bara slänga ut all hårdvara och köpa nytt.

Redigera
Citera flera Citera
Permalänk
Medlem

https://ioactive.com/event/def-con-talk-amd-sinkclose-univers...

Redigera
Citera flera Citera
Permalänk
Medlem

Är inte detta säkerhetshål gjort på en beställning av storebror?

Redigera
Citera flera Citera
1 2 3 4 5
Skriv svar