Die Entdeckung der unter den Namen "Spectre" und "Meltdown" zusammengefassten Sicherheitslücken bei zahlreichen Computer-Prozessoren hat die IT-Welt Ende des letzten Jahres lange in Atem gehalten. Und erst langsam gibt es Updates für die meisten betroffenen Systeme, die allerdings Performance-Einbußen verursachen.

Während Intel-Chips von sämtlichen Lücken betroffen waren, ist Konkurrent AMD relativ gut ausgestiegen – denn dessen Chips waren nur von Teilen der "Spectre"-Bugs betroffen.

Lecks sollen Zugang zu "Secure Processor" erlauben

Nun allerdings schlägt ein Unternehmen namens CTS Labs Alarm. Gleich 12 Sicherheitslücken sollen alle aktuellen Prozessorreihen betreffen. Doch die tatsächliche Gefährdungslage und die Seriosität der Entdecker werden kontrovers diskutiert.

Behauptet wird unter anderem, dass Angreifer in den "Secure Processor" der Prozessoren des Typs Ryzen Mobile, Ryzen, Ryzen Pro und Epyc eindringen könnten. Dadurch sei es unter anderem möglich, auf tiefer Ebene Malware zu deponieren. Die Attacke sei aus der Ferne möglich, ein direkter, physischer Zugang zum Rechner also keine Voraussetzung.

Seltsame Vorgänge

Schon im Vorfeld der Veröffentlichung, für die eine eigene Website namens "AMD Flaws" eingerichtet wurde, spielten sich seltsame Dinge ab. Die Website wurde erst sehr kurzfristig und anonym registriert. Und AMD wurde nach eigenen Angaben nicht vorab informiert. CTS wiederum erklärt, den Report einen Tag vor Veröffentlichung übermittelt zu haben.

Gängige Praxis bei der Publikation von Sicherheitslecks im Sinne einer "verantwortungsvollen Veröffentlichung" ist es, den Hersteller der betroffenen Soft- oder Hardware in Kenntnis zu setzen und eine angemessene Frist für Reaktion und Beseitigung des Problems zu setzen. Das ist hier allem Anschein nach nicht passiert. Auch gibt es nicht all zu viele "digitale Spuren" im Netz über die Betreiber von CTS Labs.

Dubiose Firma veröffentlichte "Nachruf" auf AMD

Hinzu kommt, dass ein Unternehmen namens Viceroy Research fast gleichzeitig mit dem Auftauchen der Webseite einen auf den Lücken basierenden "Nachruf" auf AMD veröffentlichte. Die Firma hat, so dokumentiert Golem, vor etwa einer Woche auch schon den Tod des deutschen Privatsenders Prosieben aufgrund der anstehenden Datenschutzgrundverordnung prophezeit und vom Kauf der Aktien des Unternehmens abgeraten.

Es folgte eine Verwarnung durch die deutsche Finanzaufsicht, da Viceroy gar nicht berechtigt sei, derlei Empfehlungen abzugeben. Beobachter vermuten, dass die Firma den Kurs manipulieren wollte, um sich mit dem kurzfristigen Ein- und Verkauf von Aktien zu bereichern.

Auch gibt es Kritik am Whitepaper selbst und Zweifel an der tatsächlichen Gefahr, die durch die Lecks droht. Tavis Ormandy von Googles Project Zero erklärt dazu, dass die Lücken eigentlich bedeutungslos seien, da das Spiel ohnehin schon aus sei, wenn der Angreifer dazu komme, sie auszunutzen – denn dafür sind Adminrechte Voraussetzung, was eine vorhergehende Kompromittierung voraussetzt.

Nicht auf die leichte Schulter nehmen

Dennoch warnt Ars Technica davor, die Fehlerberichte vorzeitig abzutun. Mit Dan Guido, David Kanter und Gadi Evron zitiert man gleich drei Fachleute, die nicht nur die Existenz der Lecks bestätigen. Die Schwachstellen seien auch relevant, obwohl ein Angreifer für ihre Ausnutzung bereits über Adminrechte verfügen muss.

Denn: Ist dieser erste Schritt erfolgreich vollzogen, kann Malware direkt im Secure Processor deponiert werden, was gefährliche Vorteile zu konventioneller Schadsoftware mitbringt. Die Inhalte des abgesicherten Speichers werden noch vor dem Betriebssystem geladen. Nutzer könnten auf diesem Weg umfangreich ausgespäht werden, da die Schadsoftware mit gängigen Tools wie Virenscannern nicht zu entdecken wäre und auch Sicherheitssysteme wie der "Credentials Guard" von Windows 10 umgangen werden könnten.

Zudem wäre es für Betroffene unmöglich, sich des Schadcodes zu entledigen. Weder eine Neuinstallation des Betriebssystems, noch eine Formatierung der Festplatte oder das Überschreiben des BIOS würde helfen.

AMD will Report prüfen

Dennoch, so schreibt Ars Technica, besteht kein unmittelbarer Grund zur Panik. AMD-Nutzer sollten die Situation aber weiter verfolgen. Der Chiphersteller selber zeigt sich erstaunt über die Art und Weise der Bekanntgabe der Fehler und erklärt, den Report schleunigst auswerten zu wollen.

Denn es bleiben nach wie vor Dinge zu klären. So soll eine der beschriebenen Lücken, sie wurde "Chimera" getauft und betrifft eine zugelieferte Komponente, laut CTS unbehebbar sein. Für Klarheit diesbezüglich und die Behebung der anderen Schwachstellen kann wohl nur AMD selber sorgen. (gpi, 14.03.2018)