AMD Ryzen: Zweifelhafte Sicherheitsforscher wollen 13 Sicherheitslücken gefunden haben
Aktuell wird viel Wirbel um die Beschaffenheit von AMDs Zen-basierten Prozessoren gemacht. Die bislang unbekannte Sicherheitsfirma CTS Labs habe 13 "kritische" Sicherheitslücken entdeckt, die sowohl Ryzen- als auch Epyc-CPUs beträfen. Anstatt AMD im Hintergrund jedoch die übliche Vorlaufzeit zum Beheben zu geben, wird das Thema medial ausgeschlachtet. Vorwürfe der Marktmanipulation werden laut.
In Zeiten von Meltdown und Spectre ist die Hardware-Welt empfindlich, was das Thema Sicherheit angeht. Nachdem CTS Labs einen Bericht über 13 angebliche, laut eigenen Aussagen "kritische" Sicherheitslücken in AMDs Zen-basierten Prozessoren veröffentlichte, sprießten daher schnell Meldungen über die potenziellen Gefahren ins Kraut. Inzwischen ist jedoch klar, dass die Geschichte mindestens anrüchig wirkt. Gestern Abend veröffentlichte CTS Labs die Ergebnisse in Form der eigens eingerichteten Webseite amdflaws.com - als Sicherheitsfirma übrigens ohne HTTPS-Protokoll -, scheinbar ohne die üblichen Disclosure-Praktiken beachtet zu haben.
Sicherheitsforscher und Unternehmen haben sich allgemein auf Sperrfristen von 90 Tagen geeinigt, um den Verantwortlichen genügend Zeit zu geben, Sicherheitslücken zu schließen, bevor man damit an die Öffentlichkeit geht. Damit besteht genügend Druck, um die Sicherheitslücken zu schließen, gleichzeitig minimiert man das Risiko, dass die Sicherheitslücken durch Dritte umgehend ausgenutzt werden. AMD merkt in einer Stellungnahme an, dass kein angemessenes Zeitfenster gegeben worden sei. Cnet.com spricht von gerade einmal 24 Stunden Vorlaufzeit. Dafür hatte CTS Labs offensichtlich Zeit, die Webseite amdflaws.com einzurichten und hübsch aufzubereiten. Am 22. Februar wurde die URL anonym registriert. Die angeblichen Sicherheitslücken wurden in vier Klassen aufgeteilt und marketingwirksam benannt: Masterkey, Ryzenfall, Fallout und Chimera. Das Whitepaper lässt jedoch technische Details weitgehend vermissen, Proofs of Concept werden zumindest nicht öffentlich gezeigt.
Fragezeichen hinterlässt derweil der Haftungsausschluss auf amdflaws.com: "Although we have a good faith belief in our analysis and believe it to be objective and unbiased, you are advised that we may have, either directly or indirectly, an economic interest in the performance of the securities of the companies whose products are the subject of our reports". CTS Labs "könnte" demnach wirtschaftliche Interessen für das Veröffentlichen des Berichts haben. Fast gleichzeitig mit dem Online-Gehen von amdflaws.com hat Viceroy Research einen Blog-Beitrag zu den Sicherheitslücken verfasst, laut dem die Wertsteigerung von AMDs Aktie seit der Ankündigung von Zen nicht gerechtfertigt sei und der Kurs auf 0 US-Dollar gehen müsse. Kurios: Viceroy Research warf der Prosiebensat.1-Mediengruppe Anfang März bereits Bilanzfälschung vor und wurde aufgrund der Handhabung von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) abgemahnt.
Auch anderweitig scheint CTS Labs fragwürdige Verbindungen aufzuweisen: Der Chief Financial Officer (CFO), Yaron Luk-Zilberman, wurde auf linkedin.com zwischenzeitlich auch als Mitarbeiter eines kalifornischen Anbieters für Arzneimittel aufgeführt, das ebenfalls CTS Labs heißt. Das Sicherheitsunternehmen CTS Labs hat seinen Sitz hingegen in Tel Aviv, Isreal. Inzwischen wurde das Mitarbeiterprofil auf linkedin.com entfernt. Gamersnexus.com weist zudem auf eine Verbindung zum Finanzberater Ninewells Capital hin. Die angegebenen Rufnummern seien nicht erreichbar oder gar nicht erst vergeben gewesen. Legitimität sollte dem Projekt durch ein Video-Interview mit den Entdeckern gegeben werden. Die Aufnahmen sind allerdings nachgewiesenermaßen vor Greenscreens entstanden: Die gezeigten Büro- und Serverräume stellen schlichtweg nachbearbeitete Stock-Fotos dar. Und um schlussendlich die Checkliste zu komplettieren: CTS Labs firmierte anscheinend einst unter Flexagrid Systems Inc. und stellte Malware bereit, um infizierte PCs Bitcoin minen zu lassen.
Die Sicherheitslücken hängen derweil zu großen Teilen mit AMDs Platform Security Processor (PSP), analog zu Intels Management Engine, zusammen und waren zumindest teilweise schon im Vorfeld bekannt. Laut verschiedenen Quellen seien die Sicherheitslücken tatsächlich gegeben, benötigten jedoch allesamt mindestens Admin-Rechte. Tavis Ormandy von Googles Project-Zero-Team, den Entdeckern von Meltdown und Spectre, merkt deshalb an, dass für PC-Nutzer schon vor dem Missbrauch der Sicherheitslücken "game over" sei.

Da nicht nur AMD ASMedia-Chips verwendet, war wie vermutet recht klar, dass nicht ausschließlich AMD-Systeme betroffen sind: Hinterturen in USB-Controllern auch in Intel-Systemen vermutet |
heise Security
Hier im Forum wurde von einigen auch gesagt das AMD CPU,s nicht von Meltdown+Spectre betroffen sind !?
Heute weiß man es besser
MfG
Die Bedrohung durch die Sicherheitslücke "Ryzenfall" erachte ich nicht für fiktiv. Dass die Wahrscheinlichkeit bestehe, die AMD Secure Technology zu kompromittieren, deren Term missverständlich über ihre elektronische Einheit "AMD Platform Security Processor" definiert ist, ist schon seit vor der offiziellen Kundgabe der Sicherheitslücken Meltdown und Spectre in den Medien hindurchgesickert. - "Nichts ist unfehlbar!"
Mich interessiere vielmehr, als die zu überwiegend auf dem Intel-Bashing und sonstiger Impertinenz prägenden Unterredung einiger User, ob an jenen zwei Sicherheitlsücken nach Meltdown und Spectre etwas Wahres dran ist, deren Nomenklaturen mir entfallen sind, welche komischerweise keiner weiteren Diskussion zu bedürfen scheinen.
Bodenlose Frechheit sowas, bin gespannt ob an den Behauptungen überhaupt was dran ist, gehe aber nicht davon aus.
Das mit der Malware erklärt mmn. schon alles über so eine Firma.
Hier im Forum wurde von einigen auch gesagt das AMD CPU,s nicht von Meltdown+Spectre betroffen sind !?
Heute weiß man es besser
Bei AMD schon, also ist der "Bug" des PSP bei weitem nicht so schlimm!
Wenn jemand eh schon vollen Zugriff auf das System hat, ist eh schon alles egal...