Aktuell rappelt es mal wieder in Punkto Sicherheitslücken in CPUs. Intel hat Microcode-Updates für bestimmte CPUs veröffentlicht, die gleich fünf nicht unkritische Schwachstellen schließen sollen. Und bei AMD-CPUs ist eine CacheWarp-Schwachstelle in der Verschlüsselung ruchbar geworden. Ich fasse mal beide Themen in einem Sammelbeitrag hier im Blog zusammen.
Intel fixt fünf CPU-Schwachstellen
Prozessorhersteller Intel hat zum 14. November 2023 Microcode-Updates veröffentlicht, um einen hochgradig gefährlichen CPU-Fehler zu beheben, der böswillig gegen Cloud-basierte Hosts ausgenutzt werden kann. Sicherheitsforscher von Google sind auf einen CPU-Zustand gestoßen, den sie als „Glitch“ bezeichnen und bei dem normale Regeln für die CPU nicht gelten.
Tavis Ormandy hat diese Schwachstelle in diesem Beitrag beschrieben. Tritt der Zustand auf, führt dies zu einem unerwarteten Verhalten, was insbesondere zu Systemabstürzen führen kann. Dieser Zustand kann selbst dann auftreten, wenn nicht vertrauenswürdiger Code innerhalb eines Gastkontos einer virtuellen Maschine ausgeführt wird (die meisten Cloud-Sicherheitsmodelle sehen dort die Code-Ausführung als sicher vor solchen Fehlern an). Auch eine Eskalation der Privilegien ist wohl möglich.
Von diesem Fehler sind praktisch alle modernen Intel-CPUs betroffen, wie Ars Technica hier schreibt. Intel hat diese Sicherheitswarnung mit weiteren Informationen und betroffene CPUS veröffentlicht. Die Kollegen von deskmodder.de haben hier Informationen zusammen gefasst und die betreffenden Seiten verlinkt.
CacheWarp-Schwachstelle in AMD-CPUs
CacheWarp ist der Name einer neu vorgestellten Angriffsmethode, bei der die RAM-Verschlüsselung moderner AMD-CPUs überwunden werden kann. Diese Verschlüsselung soll Cloud-Instanzen voneinander abschotten. Forscher der TU Graz haben nun einen Weg gefunden, genau diesen Schutzmechanismus in der Trusted-Computing-Technologie AMD Secure Encrypted Virtualization (SEV) mit CacheWarp auszuhebeln. heise hat das Thema in diesem Artikel ausführlicher aufbereitet.
Hier geht es zur eingerichteten Projekt-Webseite von CISPA / Uni Graz.
Hier zum CISPA, und hier direkt als PDF das wissensschaftliche Essay von ZHANG ETAL zum Thema CacheWarp.
Ergänzend von Morbitzer ETAL hier bei ARXIV das PDF „SEVerity: Code Injection Attacks against Encrypted Virtual Machine“, schon aus 2021.
Der FEFE nennt es hier „verzweifelte Versuch von Server-CPU-Herstellern“, Schimpfworte weggelassen ;-)
Die wirklich interessante Frage wird nirgends beantwortet: Wie kommt das eingesetzte System an die Microcode-Updates dran? Werden die Updates bereits jetzt z.B. mit den Windows-Updates schon verteilt? In den heutigen Infos zum Patchday konnte ich noch nichts finden.
Die Updates werden meines Wissens durch die Mainboard-Hersteller per
BIOS/UEFI-Update verteilt.
Einige Hersteller (bei uns z. B. Dell und Lenovo) haben auch schon reagiert und die ersten Updates veröffentlicht. Wir laden diese dann manuell herunter, die Installation erfolgt im Anschluss über unsere Softwareverteilung.
Dass die BIOS/UEFI-Updates auch per Windows Update verteilt werden,
ist mir bisher unbekannt, mag mich an dieser Stelle aber auch irren.
@1ST1: Frage gut, @Bernie, teilweise korrekt: Sowohl als auch. Aktuelle Systeme sollten BIOS Update für Microcode nutzen. Bei Bedarf erfolgt Verteilung ebenso auch durch Distribution von Microsoft bis Linux.
So verteilt – gerade vom 23.11. gesichtet – Debian hier und sicher auch andere OS den Intel-Fix für CVE 2023-23583 (siehe Link Arstechnica oben ) per SW.
Somit sind die Kernel-Experts fit genug zu branchen: Entweder ist das BIOS immun – oder bei OS-Boot wird der SW-Fix berücksichtigt. DIES wiederum hat mE einigen „ALT-Server-Betreibern bei Spectre den Popo gerettet – weil es kein BIOS mehr gab.
Aus diversen Praxisgründen empfehle ich jedoch wenn immer möglich den „BIOS-Weg“. Falls Euch dieser nerdige Kernel-Stuff interessiert – guckt zB mal das damals innovativ entwickelte Spectre-Meltdown Checktool samt Output an.
Die Cloud mal wieder ;-P Tja warum nur verzichte ich wohl auf diesen Shice? ;-P
Solche Nachrichten bestärken mich nur weiterhin das auf gar keinen Fall einzusetzen.
Nicht dein Rig nicht mehr unter deiner Kontrolle und somit raus!