Es wurde eine neue Schwachstelle entdeckt, die AMDs Zen-2-Prozessorreihe betrifft – zu der beliebte CPUs wie der preisgünstige Ryzen 5 3600 gehören – und die zum Diebstahl sensibler Daten wie Passwörter und Verschlüsselungsschlüssel ausgenutzt werden kann. Der Google-Sicherheitsforscher Tavis Ormandy hat den „Zenbleed“-Bug (eingereicht als CVE-2023-20593) diese Woche in seinem Blog veröffentlicht, nachdem er AMD die Schwachstelle erstmals am 15. Mai gemeldet hatte.
Der gesamte Zen 2-Produktstapel ist von der Sicherheitslücke betroffen, einschließlich aller Prozessoren der AMD Ryzen 3000/4000/5000/7020-Serie, der Ryzen Pro 3000/4000-Serie und der EPYC „Rome“-Rechenzentrumsprozessoren von AMD. AMD hat inzwischen seinen voraussichtlichen Veröffentlichungszeitplan für die Behebung des Exploits veröffentlicht, wobei die meisten Firmware-Updates voraussichtlich erst später in diesem Jahr verfügbar sein werden.
Mit Zenbleed können Angreifer Daten von jeder Software stehlen, die auf einem betroffenen System ausgeführt wird, einschließlich Cloud-gehosteter Dienste
Laut Cloudflare erfordert der Zenbleed-Exploit keinen physischen Zugriff auf den Computer eines Benutzers, um sein System anzugreifen, und kann sogar remote über Javascript auf einer Webseite ausgeführt werden. Bei erfolgreicher Ausführung ermöglicht der Exploit die Übertragung von Daten mit einer Rate von 30 kb pro Kern und Sekunde. Laut Ormandy ist das schnell genug, um sensible Daten von jeder auf dem System ausgeführten Software zu stehlen, einschließlich virtueller Maschinen, Sandboxes, Containern und Prozessen. Als TomsHardware weist darauf hin, dass die Flexibilität dieses Exploits ein besonderes Problem für in der Cloud gehostete Dienste darstellt, da er potenziell zum Ausspionieren von Benutzern innerhalb von Cloud-Instanzen genutzt werden könnte.
Schlimmer noch: Zenbleed kann unter dem Radar bleiben, da für die Ausnutzung keine besonderen Systemaufrufe oder Privilegien erforderlich sind. „Mir sind keine zuverlässigen Techniken zur Erkennung von Ausbeutung bekannt“, sagte Ormandy. Der Fehler weist einige Ähnlichkeiten mit der Spectre-Klasse von CPU-Schwachstellen auf, da er Fehler in spekulativen Ausführungen ausnutzt, aber viel einfacher auszuführen ist – was ihn eher zu einer Exploit-Familie von Meltdown macht. Die vollständige technische Aufschlüsselung zur Zenbleed-Sicherheitslücke finden Sie im Blog von Ormandy.
AMD hat bereits einen Microcode-Patch für Epyc 7002-Prozessoren der zweiten Generation veröffentlicht, die nächsten Updates für die verbleibenden CPU-Linien werden jedoch frühestens im Oktober 2023 erwartet. Das Unternehmen hat nicht bekannt gegeben, ob sich diese Updates auf die Systemleistung auswirken werden, AMD hat jedoch eine entsprechende Erklärung abgegeben TomsHardware legt nahe, dass es eine Möglichkeit ist:
Die Auswirkungen auf die Leistung variieren je nach Arbeitslast und Systemkonfiguration. AMD ist kein bekannter Exploit der beschriebenen Schwachstelle außerhalb der Forschungsumgebung bekannt.
Ormandy empfiehlt betroffenen Benutzern dringend, das Mikrocode-Update von AMD anzuwenden, hat in seinem Blog aber auch Anweisungen für einen Software-Workaround bereitgestellt, der angewendet werden kann, während wir darauf warten, dass Anbieter einen Fix in zukünftige BIOS-Updates integrieren. Ormandy warnt davor, dass sich dieser Workaround auch auf die Systemleistung auswirken könnte, aber zumindest ist er besser, als auf ein Firmware-Update warten zu müssen.