AMD betreibt verstecktes Performance-Tuning über den PCI-Treiber

Thread Starter
Mitglied seit
06.03.2017
Beiträge
112.377
amd_ryzen_teaser_100.jpg
Am Wochenende beschäftigte sich der Sicherheitsforscher Alex Ionescu mit seinem ersten Ryzen-System. Um welches es sich dabei genau handelt, bleibt zunächst einmal unklar. In jedem Fall hat er sich den AMD PCI Driver genauer angeschaut, ohne dass bisher klar wurde, warum er genau diese Komponente unter die Lupe genommen hatte.
... weiterlesen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Einfach uncool dass es AMD so macht, dass sie damit neue Sicherheitslücken einbauen
 
Fine Wine halt, reift beim Kunden. :hust:
 
Bin hin und hergerissen.
Optimierung auf pro-game basis: Gut und normal.
Optimierung über eine PCI Treibersache: Innovativ,...? Aber... warum so geheim?
Dafür Sicherheitslücken aufreißen: Absolut nicht ok.

Ich hoffe, dass es hier nicht nur um den Gipfel des Eisbergs geht und anhand dieses Fundes weitere durch AMD hervorgerufene Sicherheitslücken in die PCs kommen.
Dass sie es offiziell den Boardpartnern stecken als Instabilität und es dann geheim doch aktivieren pro Game... irgendwie unschön auch.

Die Grundidee finde ich ja gut und löblich. Gerne dürfen die Firmen an ungewöhnlichen Schrauben drehen, wenn es klappt.
Die Geheimhaltung und Sicherheitslücken hingegen schmecken mir gar nicht.

Kann jemand abschätzen, was für Funktionen MAXIMAL durch diese Schnittstellen offen liegen? Ich bin zwar nicht so arg paranoid, dass ich nu stundenlang Recherche betreibe, aber wenn das jemand eh weiß, würde mich der Worst-Case dann doch interessieren.
 
Das die dort benutzte Schnittstelle nicht abgesichert ist könnte ein Problem sein.
Ansonsten kann man mit Zugriff auf ein System noch ganz andere Sachen machen.

Ob das jetzt eine Sicherheitslücke ist die gefixed werden muss, oder nur mit höheren Systemrechen ausführrelevant wird? Gute Frage.
Da geht mit so manchem (Windows) Kerneltreiber wahrscheinlich etwas ähnliches.
 
Dass sie es offiziell den Boardpartnern stecken als Instabilität und es dann geheim doch aktivieren pro Game... irgendwie unschön auch.
Naja, wann kommt es zu den Instabilitäten?
Evtl. in bestimmten Anwendungen und für Anwendungen, bei denen es nicht zu Instabilitäten führt, wirds freigeschaltet.
Kann man so machen, aber Sicherheitslücken sollten dadurch natürlich nicht aufgerissen werden.
 
Wenn der Passus im Text zutreffend ist, dass über einen manipulierten Treiber die Sicherheitslücken entstehen würden, dann ist das ganze doch eh nur Wind um Nichts. Denn wenn ich einen manipulierten Treiber installiere, dann kann der ohnehin mit Systemrechten Unfug treiben. Egal ob es nun der AMD PCI Treiber ist, der nVIDIA Grafiktreiber, der Realtek Netzwerktreiber oder sonstwer. Deswegen sind Treiber im Normalfall signiert und man sollte sie nicht aus windigen Quellen beziehen ;)
 
Bin hin und hergerissen.
Optimierung auf pro-game basis: Gut und normal.
Optimierung über eine PCI Treibersache: Innovativ,...? Aber... warum so geheim?
Dafür Sicherheitslücken aufreißen: Absolut nicht ok.
Da schließe ich mich an, hast du schön zusammengefasst. Das man generell Features die für Probleme gekannt sind trotzdem in einigen (getesteten) Anwendungen freischaltet ist ne gute Sache, denn so gewinnt der Kunde. Aber das es potenzielle Lücken aufreisst, das ist nicht ok.

Aber die Frage ist immer ob die Lücke relevant ist. Brauche ich zum Ausnutzen der Lücke lokalen Zugriff und Adminrechte auf dem System, ja dann bin ich ja eh schon "drin" und kann mit dem System anstellen was ich möchte. Sprich an der Stelle ist die Lücke nicht mehr relevant.
 
Denn wenn ich einen manipulierten Treiber installiere, dann kann der ohnehin mit Systemrechten Unfug treiben. Egal ob es nun der AMD PCI Treiber ist, der nVIDIA Grafiktreiber, der Realtek Netzwerktreiber oder sonstwer. Deswegen sind Treiber im Normalfall signiert und man sollte sie nicht aus windigen Quellen beziehen ;)
Genau, wer bei der Suche nach Treibern nach der Googlesuche nicht auf die Herstellerseite geht, sondern die bei irgendwelchen "kostenlose.treiber.ru" Seiten runterlädt hat es nicht besser verdient.

Aber die Leute sind im Regelfall eh schon infiziert, weil das "kostenlose Antivirusprogramm" nach 3 Monaten seinen Dienst einstellt, aber weiterhin den Windows Defender blockiert. Die Warnung, dass man vor Viren und Trojanern ungeschützt ist wird da dann auch weggeklickt :d
 
  • Danke
Reaktionen: Tzk
So wie ich das verstehe benötigt man physischen Zugriff (wer den hat kann noch ganz andere Sachen anstellen). So what? Oder das Problem vor dem Monitor muss einen manipulierten Treiber installieren. Also mal wieder viel Lärm um .... nichts.
 
So wie ich das verstehe benötigt man physischen Zugriff (wer den hat kann noch ganz andere Sachen anstellen). So what? Oder das Problem vor dem Monitor muss einen manipulierten Treiber installieren. Also mal wieder viel Lärm um .... nichts.
Oder aber es macht eine "Software", die du dir z.B. beim surfen einfängst.
 
Wieso wird hier auf einmal so getan, als wäre das ein Shady Fremdtreiber, den nur Deppen herunterladen?

Im ersten Absatz des Artikels wird doch explizit von dem AMD PCI Treiber gesprochen.
Wenn wir AMD nicht pauschal als "shady" betiteln wollen und davon ausgehen, dass ein PCI Treiber durchaus zur Standardinstallation einer Board / CPU Combo gehört,... ist das doch nun wirklich kein wildes installieren über Adware Popups from unbekannten Quellen.

Asus Boards z.B. haben direkt ein Popup beim Systemstart nach Reinstall, dass da Treiber zu installieren sind. Da bekommt man unter anderem diesen AMD PCI Treiber angezeigt.

Also habe ich da was falsch verstanden, oder ist die Mär von einem shady 3rd Party Treiber nur ein Versuch das Thema ins Lächerliche zu ziehen?
 
Weil lt. Bericht ein manipulierter Treiber erforderlich ist um die "Lücke" auszunutzen. Wobei nicht klar ist, ob es ein veränderter AMD PCI Treiber sein muss oder auch der von anderer Hardware über IOCTL gehen kann. Wie auch immer - es erfordert einen nicht sauberen Treiber und solange man nur offizielle Versionen installiert sollte das Problem also keines sein.
 
Ist wie alle Sicherheitslücken. Die größte sitzt davor, unschön das es ne Möglichkeit gibt. Dafür muss man aber auf dem System drauf gewesen sein und den Treiber manipulieren. Das kann man aber bei allen Geräten so machen??? Solange du damit nicht über Virtualisierung von einer VMaschine auf die andere kommst, sehe ich kein großes Problem.
 
Wieso wird hier auf einmal so getan, als wäre das ein Shady Fremdtreiber, den nur Deppen herunterladen?
Weil irgendwer damit angefangen hat irgendwelche komischen Aussagen über "Sicherheit" zu verbreiten, die mit irgendwelchen modifizierten Treibern in Zusammenhang stehen sollen - was aber wie so oft bei Sicherheitsthemen komplett am Kern vorbei geht. Wer sich Treiber installiert, die scheiße bauen dann ist irgend eine "nicht abgesicherte Schnittstelle" das geringste Problem.
Dabei spielt es auch überhaupt keine Rolle, woher der Treiber stammt oder wer diesen entwickelt hat. -> Der User muss dem Hersteller vertrauen - tut er das, ist alles schick. Tut er das nicht, ist das hier zusammen konstruierte Problem nur die nicht 3x abgeschlossene Stahltür beim eh offen stehenden Fenster, wo drüber steht, bitte hier einsteigen - Tür ist zu... Soll heißen, wer dem hersteller nicht vertraut, der den Treiber liefern, der sollte diesen auch nicht installieren - da bringt drüber aufregen, dass da irgendwas vielleicht unter welchen Umständen auch immer, gehen kann, weil irgendwo irgendwas nicht abgesichert ist, exakt gar nix... Denn je nach Treiber steht eh quasi fast bedingungslos alles offen.
Weil lt. Bericht ein manipulierter Treiber erforderlich ist um die "Lücke" auszunutzen. Wobei nicht klar ist, ob es ein veränderter AMD PCI Treiber sein muss oder auch der von anderer Hardware über IOCTL gehen kann. Wie auch immer - es erfordert einen nicht sauberen Treiber und solange man nur offizielle Versionen installiert sollte das Problem also keines sein.

Grundsätzlich ist immer darauf zu achten, dass die Treiber von seriöser Quelle kommen. Weil Treiber mit hohen Rechten im System laufen und in dem Fall auch bei kompromittierten Themen sehr wenig Hürden zur vollen Systemkontrolle existieren.

PS: und ne, bevor es kommt, OpenSource bringt da leider auch nur bedingt Punkte - bis sogar fast gar nix. Denn das was OpenSource bei den Treibern ist, ist löst nicht das Problem. Die Binary Blobs, die idR auch im OpenSource Umfeld da rein gebracht werden, sind halt leider weiterhin nicht durchdringbare Blackboxen - und machen im Endeffekt das, was sie sollen ohne für Dritte "prüfbar" zu sein. Aber auch hier gilt - traust du dem Hersteller? Wenn ja, alles i.O. Wenn nicht -> Finger weg.

Ist wie alle Sicherheitslücken. Die größte sitzt davor, unschön das es ne Möglichkeit gibt. Dafür muss man aber auf dem System drauf gewesen sein und den Treiber manipulieren. Das kann man aber bei allen Geräten so machen??? Solange du damit nicht über Virtualisierung von einer VMaschine auf die andere kommst, sehe ich kein großes Problem.
Wer in der Lage ist, durch welche Maßnahmen auch immer, beliebigen Code über Treiber in/auf dem System auszuführen, der wäre bspw. auch in der Lage, Verschlüsslungen zu brechen um Memory Dumps zu ziehen bei den VMs und ähnliches. Sprich man muss dabei nicht von VM zu VM ausbrechen. Wer in der Lage ist, den Host zu kompromittieren, der hat den Pokal ;) Dann ist fertig... Spiel durchgespielt. Mehr braucht es idR nicht.
Zumal ein netter Nebeneffekt der Nummer ist, mit erhöhten Rechten kann man sich auch sehr tief ins System einnisten - bis hin zu modifizierter Firmware oder so Kram. Sowas bekommt man da auch ohne 100% zu wissen, was man wo und wie tut, gar nicht mehr raus.
 
Wer in der Lage ist, durch welche Maßnahmen auch immer, beliebigen Code über Treiber in/auf dem System auszuführen, der wäre bspw. auch in der Lage, Verschlüsslungen zu brechen um Memory Dumps zu ziehen bei den VMs und ähnliches. Sprich man muss dabei nicht von VM zu VM ausbrechen. Wer in der Lage ist, den Host zu kompromittieren, der hat den Pokal ;) Dann ist fertig... Spiel durchgespielt. Mehr braucht es idR nicht.
Zumal ein netter Nebeneffekt der Nummer ist, mit erhöhten Rechten kann man sich auch sehr tief ins System einnisten - bis hin zu modifizierter Firmware oder so Kram. Sowas bekommt man da auch ohne 100% zu wissen, was man wo und wie tut, gar nicht mehr raus.
Stimmt wohl. Aber ich glaub da spielt es fast keine Rolle ob AMD oder Intel da eine Treiberlücke haben.
 
Jupp, exakt. Und nicht nur das - das betrifft halt noch viel viel mehr. NV im GPU Umfeld bspw. und andere Gerätehersteller, die da irgendwo zwangsweise Treiber benötigen. Das Spiel ist exakt das gleiche.

Es gibt paar Ausnahmen. Zumindest im Windows Umfeld gibt es User Mode Treiber. Drucker Treiber bspw. können sowas sein. Leider ist das immer so ne Sache zwischen Komfort und "Altlasten". Wenn man dem User die Wahl lässt, den neuen fancy User Mode Treiber mit eingeschränkten Funktionen oder den alten Systemtreiber mit vollen Funktionen zu nutzen -> da stellt sich meist die Frage gar nicht ;)
 
Es gibt paar Ausnahmen. Zumindest im Windows Umfeld gibt es User Mode Treiber. Drucker Treiber bspw. können sowas sein. Leider ist das immer so ne Sache zwischen Komfort und "Altlasten". Wenn man dem User die Wahl lässt, den neuen fancy User Mode Treiber mit eingeschränkten Funktionen oder den alten Systemtreiber mit vollen Funktionen zu nutzen -> da stellt sich meist die Frage gar nicht
Der Fall kommt mir bekannt vor, am Ende diktiert sowieso nicht der ITler nach Sicherheitsbestimmung wie die Systeme genutzt werden sollen.
Bequemlichkeit gewinnt hier immer, vor allem wenn es auch den Chef betrifft.
 
Es ist kein manipulierter Treiber, sondern der Standard PCI Treiber von AMD, welchen man per Windows Update oder durch die Installation des AMD Chipsatztreibers ins System bekommt.

Der Treiber ist sogar WHQL zertifiziert. :fresse:

Ja, der Treiber verändert Prozessorregister, das ist von AMD offensichtlich so gewollt und dadurch passiert auch erstmal nichts.

"und so kann ein manipulierter Treiber beliebige Werte setzen, was in einem ersten Schritt dazu genutzt wurde, das System über einen Powershell-Befehl komplett zum Absturz zu bringen"

Also sollte im Umkehrschluss der offizielle Treiber unproblematisch sein.
 
Ja, der Treiber verändert Prozessorregister, das ist von AMD offensichtlich so gewollt und dadurch passiert auch erstmal nichts.

"und so kann ein manipulierter Treiber beliebige Werte setzen, was in einem ersten Schritt dazu genutzt wurde, das System über einen Powershell-Befehl komplett zum Absturz zu bringen"

Also sollte im Umkehrschluss der offizielle Treiber unproblematisch sein.

Man kann aber auch verifizierte Treiber Hijacken, wenn sie Sicherheitslücken haben.
Dann ist das der ganz normale AMD Treiber, der mit dem Windows Update kommt,... dann ist die Frage nur noch, ob man dafür Zugriff zur Hardware braucht, oder auch remote injecten kann. In den meisten Fällen geht das ja remote, aber eben nicht in allen. Solange es nur Lokal geht, ist das zwar weiterhin ein kleines Desaster und eines Aufschreies würdig, aber kein Beinbruch mehr. Für die meisten zumindest. ;-)
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh