Intel und AMD: Neue Hardware-Sicherheitslücken entdeckt
Fast alle Intel-Chips der vergangenen fünf und alle AMD-Chips der vergangen neun Jahre haben Hardware-Sicherheitslücken. Wir fassen aktuelle News zusammen.
Meltdown und Spectre scheinen ausgestanden, Intel bringt im Frühjahr 2020 neue sowie (hoffentlich) sichere CPUs und AMD hat mit Ryzen einen Lauf. Am vergangenen Wochenende sind jedoch neue Hardware-Sicherheitslücken bekannt geworden, die Besitzer von CPUs der beiden Hersteller sowie Interessenten für einen Kauf verunsichern. Potenzielle Probleme durch die neuen Lecks sind bei Intel schwerwiegender, wenngleich nicht wie bei den eingangs genannten Lücken. Wir fassen die aktuellen Meldungen für Sie zusammen
Wie das Sicherheitsunternehmen Positive Technologies Security (PT Security) in der vergangenen Woche berichtete, hat Intels „Converged Security and Management Engine“ (CSME) eine nicht reparierbare Schwachstelle. Die CSME ist praktisch eine in sich abgeschlossene Komponente, die kompletten Zugriff auf alle Datenströme der CPU hat. Intel legt darüber keine Infos offen, um es Cyberkriminellen nicht unnötig einfach zu machen.
Laut PT Security handelt es sich bei der Lücke um einen Firmware-Fehler, der fest im unveränderlichen ROM (Read Only Memory) von Intel-CPUs und Chipsätzen steckt. Da CSME auch viele Sicherheitsfeatures steuert, multipliziert sich das Risiko. Zu nennen ist etwa die Verschlüsselung für Secure Boot, DRM (Kopierschutz) und bestimmte Privatsphäre-Informationen (Enhanced Privacy ID). Die CSME beherbergt auch Trusted Platform Module (TPM), die Betriebssystem und Apps die Verwaltung von Zugängen zu beispielsweise verschlüsselten Systemen ermöglicht.
Hacker könnten durch das Ausnutzen von Firmware-Fehlern Kontrolle über Verschlüsselungsmechanismen übernehmen und schädlichen Code ausführen. Das kann zu Chaos führen, wenn etwa „Hardware-IDs gefälscht, digital geschützter Content ausgelesen oder verschlüsselte Daten offen gelegt werden“.
Betroffen sind fast alle Intel-CPUs der vergangenen fünf Jahre. Intel hatte bereits im Februar vor einer CSME-Lücke gewarnt, die jetzt neu bewertet wird. Der Fehler sei in der kommenden 10. CPU-Generation von Intel für 2020 behoben, die ab April erwartet wird. Laptops mit Mobilvarianten der neuen Chips sind schon verfügbar. Die Lücke birgt zwar Risiken. Ein Ausnutzen erfordert aber lokalen Zugriff. Das macht Intels Historie an Sicherheitslücken in den vergangenen drei Jahren aber nicht besser.
AMD: CPU-Lücke betrifft auch Ryzen
Der L1-Cache sämtlicher AMD-Prozessoren seit 2011 hat eine Sicherheitslücke namens „Take A Way“, über die der Hersteller bereits Mitte 2019 informiert wurde. Die potenziellen Gefahren seien nicht so groß wie aktuell bei Intel. Durch ein Ausnutzen von Fehlern im Cache könnten aber Nutzerdaten über Attacken im Browser abgegriffen werden.
Am Wochenende hat sich AMD geäußert und Empfehlungen gegeben, wie Hardware- und Software-Hersteller das Risiko reduzieren können. Das beginnt mit dem Einspielen von Updates für jegliche in der Entwicklung involvierte Hard- und Software, um frisch entdeckte Lücken und Einfallswege zu berücksichtigen. Das schließt kritische Programmierbibliotheken ein, die auf den aktuellen Stand gebracht werden müssen. Programmierer sollten sich außerdem an bewährte Praktiken „sicherer Coding-Methoden“ sowie sicherer Computernutzung halten und aktuelle Antivirus-Software einsetzen. Die letztgenannten beiden Punkte sind auch für den Endverbraucher eine relevante Empfehlung.
AMD hat wie Intel bei der CSME nur wenige Infos veröffentlicht. Der L1-Cache ist eine feste Komponente in AMD-Chips seit 2011, die kaum verändert wurde. Somit sind auch aktuelle AMD-Chips wie Ryzen und Epyc-Serverprozessoren betroffen. Angriffswege fanden bei den für den Fund verantwortlichen Sicherheitsforschern via JavaScript im Browser statt. Entsprechend sollten Sie den Einsatz derartiger Erweiterungen reduzieren und auch Ihre Browser aktuell halten.
9.3.2020 von The-Khoa Nguyen
Quelle: Intel und AMD: Neue Hardware-Sicherheitslücken entdeckt - PC Magazin