Sicherheitslücken in CPUs von Intel/AMD/anderen (Microcode+App+OS fixes notwendig)

[bender79]

Hallo,

da rollt vermutlich schon das nächste Intel Überraschungspaket (nach den ganzen Management Engine vulnerabilities) an:

https://www.computerbase.de/2018-01/intel-cpu-pti-sicherheitsluecke/

Bleibt spannend!
grüße


//edit moronoxyd: Titel noch weiter angepasst. Betrifft nicht nur Intel.

 

[mcb]

Intels Sicherheitsfunktion SGX ist ebenfalls durch Spectre angreifbar.


Quelle: PC Games Hardware - Spectre: Auch Intels Sicherheitsfunktion SGX angreifbar

arxiv.org - SGXPECTRE Attacks: Leaking Enclave Secrets via Speculative Execution
GitHub - spectre-attack-sgx


LG Uwe

Und hier https://www.heise.de/security/meldu...heitsfunktion-Intel-SGX-moeglich-3983848.html

 

[Helios]

Sandy Bridge, Ivy Bridge und Haswell sind nun im Status "Produktion" :thumbup:.

https://newsroom.intel.com/wp-content/uploads/sites/11/2018/03/microcode-update-guidance.pdf

 

[Bambulator]

Habe gestern BIOS 1.23 für mein X1C 20BT aufgespielt. Vorher war W7 64 HB ordentlich zu gebrauchen, alle Arbeiten liessen sich flüssig erledigen. Aufgrund diverser Add-ons benötigte FF zum Öffnen knapp 3 Sekunden. Kurz: die Maschine war kein Geschwindigkeitswunder, aber man konnte gut damit arbeiten.

Seit dem neuen BIOS ist das X1C eine lahme Krücke. FF braucht knapp 10 Sekunden, Programme öffnen nach diversen Gedenksekunden. Das OS ist insgesamt träge. Ich fühle mich, als säße ich vor meinem X301. Ich werde wohl wieder auf BIOS 1.20 flashen.

Da für das X250 auch ein gepatchtes BIOS raus ist, frage ich mich, ob ich das überhaupt aufspielen soll?

 

[mcb]

Habe gestern BIOS 1.23 für mein X1C 20BT aufgespielt. Vorher war W7 64 HB ordentlich zu gebrauchen, alle Arbeiten liessen sich flüssig erledigen. Aufgrund diverser Add-ons benötigte FF zum Öffnen knapp 3 Sekunden. Kurz: die Maschine war kein Geschwindigkeitswunder, aber man konnte gut damit arbeiten.

Seit dem neuen BIOS ist das X1C eine lahme Krücke. FF braucht knapp 10 Sekunden, Programme öffnen nach diversen Gedenksekunden. Das OS ist insgesamt träge. Ich fühle mich, als säße ich vor meinem X301. Ich werde wohl wieder auf BIOS 1.20 flashen.

Da für das X250 auch ein gepatchtes BIOS raus ist, frage ich mich, ob ich das überhaupt aufspielen soll?

REM CVE-2017-5754 [rogue data cache load] only
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 1 /f

Zurückflashen kannst du dir gl. sparen ... der Microcode bleibt...

- - - Beitrag zusammengeführt - - -

Gibt jetz auch ein neues Betabios für das t440(s) -> 2.47

Microsoft Windows [Version 10.0.16299.251]
(c) 2017 Microsoft Corporation. All rights reserved.

e:\tools>"get biosversion.cmd"

e:\tools>cmd.exe /k "wmic bios get smbiosbiosversion"
SMBIOSBIOSVersion
GJET97WW (2.47 )


e:\tools>SpecuCheck\SpecuCheck.exe
SpecuCheck v1.0.5 -- Copyright(c) 2018 Alex Ionescu
https://ionescu007.github.io/SpecuCheck/ -- @aionescu
-------------------------------------------------------

Mitigations for CVE-2017-5754 [rogue data cache load]
-------------------------------------------------------
[-] Kernel VA Shadowing Enabled: yes
+---> with User Pages Marked Global: no
+---> with PCID Flushing Optimization (INVPCID): yes

Mitigations for CVE-2017-5715 [branch target injection]
-------------------------------------------------------
[-] Branch Prediction Mitigations Enabled: no
+---> Disabled due to System Policy (Registry): yes
+---> Disabled due to Lack of Microcode Update: no
[-] CPU Microcode Supports SPEC_CTRL MSR (048h): yes
+---> Windows will use IBRS (01h): no
+---> Windows will use STIPB (02h): no
[-] CPU Microcode Supports PRED_CMD MSR (049h): yes
+---> Windows will use IBPB (01h): yes

e:\tools>SpecuCheck\Get-SpeculationControlSettings.cmd

e:\tools>powershell "Get-SpeculationControlSettings"
Speculation control settings for CVE-2017-5715 [branch target injection]

Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: True
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: False

Speculation control settings for CVE-2017-5754 [rogue data cache load]

Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID optimization is enabled: True


BTIHardwarePresent : True
BTIWindowsSupportPresent : True
BTIWindowsSupportEnabled : False
BTIDisabledBySystemPolicy : True
BTIDisabledByNoHardwareSupport : False
KVAShadowRequired : True
KVAShadowWindowsSupportPresent : True
KVAShadowWindowsSupportEnabled : True
KVAShadowPcidEnabled : True




Habe aber keine Lust den Spectre2 Patch zu aktivieren ...

- - - Beitrag zusammengeführt - - -

Hier einmal Geekbench nur Meltdown gepatched:
https://browser.geekbench.com/v4/cpu/7357169

- - - Beitrag zusammengeführt - - -

Der Speculation Control Validation PowerShell Script wurde überarbeitet und steht in der aktualisierten Version zum Bezug bereit. Datum: 28.02.2018.

Update history:
1.0.5 (current version)

• Adds -Quiet parameter, which suppresses host output for automation scenarios.

https://gallery.technet.microsoft.com/scriptcenter/Speculation-Control-e36f0050

Wie aktuallisert man (also ich) das ? Danke

 

[Helios]

Wie aktuallisert man (also ich) das ? Danke

Die Datei SpeculationControl.zip herunterladen und die beiden enthaltenen Skripte bspw. nach C:\ADV180002 (neuer Ordner) entpacken.

Danach PowerShell aufrufen und zum Verzeichnis ADV180002 wechseln und folgenden Skript kopieren, in PS einfügen und ausführen. Bei der Ausführung mit "Ja" bestätigen.

$SaveExecutionPolicy = Get-ExecutionPolicy 
#  
Set-ExecutionPolicy RemoteSigned -Scope Currentuser 
 
Import-Module .\SpeculationControl.psd1 
Get-SpeculationControlSettings 
 
Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

 

[mcb]

Die Datei SpeculationControl.zip herunterladen und die beiden enthaltenen Skripte bspw. nach C:\ADV180002 (neuer Ordner) entpacken.

Danach PowerShell aufrufen und zum Verzeichnis ADV180002 wechseln und folgenden Skript kopieren, in PS einfügen und ausführen. Bei der Ausführung mit "Ja" bestätigen.

$SaveExecutionPolicy = Get-ExecutionPolicy 
#  
Set-ExecutionPolicy RemoteSigned -Scope Currentuser 
 
Import-Module .\SpeculationControl.psd1 
Get-SpeculationControlSettings 
 
Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Danke, ich habe 1.04 irgendwie mit der Powershel direkt vom Server installiert - - jetzt weiß ich nicht wo das gelandet ist usw ... erstmal nicht mission critical

"Update history:
1.0.5 (current version)

• Adds -Quiet parameter, which suppresses host output for automation scenarios."

- - - Beitrag zusammengeführt - - -

Import-Module .\SpeculationControl.psd1

Hat geklappt ! Version kann ich leider nicht überprüfen

- - - Beitrag zusammengeführt - - -

Get-SpeculationControlSettings -quiet


BTIHardwarePresent : True
BTIWindowsSupportPresent : True
BTIWindowsSupportEnabled : False
BTIDisabledBySystemPolicy : True
BTIDisabledByNoHardwareSupport : False
KVAShadowRequired : True
KVAShadowWindowsSupportPresent : True
KVAShadowWindowsSupportEnabled : True
KVAShadowPcidEnabled : True

-> Worked

 

[Bambulator]

Zurückflashen kannst du dir gl. sparen ... der Microcode bleibt...

Na, toll. Das X1C ist im jetzigen Zustand ein einziges Ärgernis. Wie kann ich Lenovo denn über diesen Fall in Kenntnis setzen? Tangiert die das überhaupt?

Anscheinend hatte ich mit meinem T440P nur Glück!? Nach Flashen des BIOS 2.47 kann ich keine Einschränkungen 'fühlen'. Nach dem Desaster X1C spare ich mir das Experiment mit dem X250. Vorerst.

Da kommt die Frage auf, ob irgendwo festgehalten wird, wie sich die BIOS-Updates für die einzelnen ThinkPads etc. auswirken? Somit könnte man andere User im Vorfeld über Geschwindigkeitseinbußen/Nachteile nach einem BIOS-Update in Kenntnis setzen.

Gibt es sowas schon?

 

[mcb]

Na, toll. Das X1C ist im jetzigen Zustand ein einziges Ärgernis. Wie kann ich Lenovo denn über diesen Fall in Kenntnis setzen? Tangiert die das überhaupt?

Anscheinend hatte ich mit meinem T440P nur Glück!? Nach Flashen des BIOS 2.47 kann ich keine Einschränkungen 'fühlen'. Nach dem Desaster X1C spare ich mir das Experiment mit dem X250. Vorerst.

Da kommt die Frage auf, ob irgendwo festgehalten wird, wie sich die BIOS-Updates für die einzelnen ThinkPads etc. auswirken? Somit könnte man andere User im Vorfeld über Geschwindigkeitseinbußen/Nachteile nach einem BIOS-Update in Kenntnis setzen.

Gibt es sowas schon?

Ich fürchte das stört die wenig ...
Beim T440p hat das Bios den Microcode ja auch zurückgerollt soweit ich weiß ...

Das funktioniert:

REM CVE-2017-5754 [rogue data cache load] only
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contr ol\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contr ol\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 1 /f

Mit heilem oder kaputten Bios

 

[Helios]

InSpectre liegt im Release #7 zum Download vor und zeigt nun auch die CPUID an, um zu entscheiden, ob Microsoft bereits einen Patch der betreffenden CPUs gegen Spectre 2 veröffentlicht hat.

 

[irixfan]

Hi!

Schon gesehen? Für das T420 gibt's ein neues BIOS (v1.50):

[Important] Enhancement to address CVE-2017-5715.

https://pcsupport.lenovo.com/de/de/...RIES-LAPTOPS/THINKPAD-T420/downloads/DS018784

Damit geht's jetzt doch los mit den offiziellen Updates für die Sandy-Bridge-Generation!

Servus,
Michael

 

[Harry_W]

Sind die Änderungen am Microcode permanent? Kann man also das 1.5 Bios flashen und dann wieder zurück auf das alte Mod Bios? Ansonsten muss man hoffen, dass die Bios Modder sich das 1.5 möglichst bald vornehmen.

 

[Trulex]

Sind die Änderungen am Microcode permanent? Kann man also das 1.5 Bios flashen und dann wieder zurück auf das alte Mod Bios? Ansonsten muss man hoffen, dass die Bios Modder sich das 1.5 möglichst bald vornehmen.

Ich hatte mal das Bios 1.17 für den P51 draufgespielt, wo der Microcode enthalten war, nachdem das Update aber zurückgezogen wurde, ging ich wieder auf das 1.16 zurück - der Microcode war noch aktiv. Schätze also, dass die Änderungen permanent sind.

 

[harpo]

Sind die Änderungen am Microcode permanent?

Theoretisch ja. Zumindest waren sie das immer bei bisherigen MCUs, auch bei den vor einigen Wochen zurückgezogenen problematischen. Allerdings ist mir jetzt ein Satz in der Readme vom kürzlich veröffentlichten BIOS-Update 1.24 für das X1C3rd aufgefallen:

Notes:
- If the UEFI BIOS has been rolled back to version 1.23 from higher version,
CPU microcode (MCU) is also rolled back to older version than the one addressed
for CVE-2017-5715.

Wenn dies wirklich so ist, haben sie da wohl einen Weg gefunden, dies reversibel zu gestalten. Allerdings ist z.B. in der Readme zu BIOS 1.50 für das T420 solch ein Satz nicht zu finden. Auch in einigen anderen jetzt neu veröffentlichten Updates fehlt dieser Vermerk (bin jetzt nicht alle durchgegangen ). Wie es nun also tatsächlich steht, kann man im Zweifelsfall nur durch ausprobieren erfahren.

 

[mcb]

Theoretisch ja. Zumindest waren sie das immer bei bisherigen MCUs, auch bei den vor einigen Wochen zurückgezogenen problematischen. Allerdings ist mir jetzt ein Satz in der Readme vom kürzlich veröffentlichten BIOS-Update 1.24 für das X1C3rd aufgefallen:

Wenn dies wirklich so ist, haben sie da wohl einen Weg gefunden, dies reversibel zu gestalten. Allerdings ist z.B. in der Readme zu BIOS 1.50 für das T420 solch ein Satz nicht zu finden. Auch in einigen anderen jetzt neu veröffentlichten Updates fehlt dieser Vermerk (bin jetzt nicht alle durchgegangen ). Wie es nun also tatsächlich steht, kann man im Zweifelsfall nur durch ausprobieren erfahren.

Ist wohl folgendermaßen hier am Beispiel T440s / T440p

T440s -> fehlerhaftes bios mit kaputtem Microcode -> neues bios mit neuen Microcode und der bleibt beim downgrade
T440p -> fehlerhaftes bios -> neues bios ohne Spectre Patch mit neuen Microcode und der bleibt beim downgrade -> Bios mit Spectre Patch (wieder neuer Micro...)

 

[bemymonkey]

So, hab eben mal die aktuelle BIOS-Version 1.20 für W550s/T550 installiert... mal sehen ob jetzt die sporadischen BlueScreens weg sind. Ich bin gespannt :|

 

[boisbleu]

REM CVE-2017-5754 [rogue data cache load] only
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 1 /f

Sorry, wenn ich mein Veto einlege, aber FeatureSettingsOverrideMask muss immer auf 3 stehen. Die Fixes werden nur mit FeatureSettingsOverride aktiviert oder teilaktiviert.

Gruß Tom

 

[mcb]

Sorry, wenn ich mein Veto einlege, aber FeatureSettingsOverrideMask muss immer auf 3 stehen. Die Fixes werden nur mit FeatureSettingsOverride aktiviert oder teilaktiviert.

Gruß Tom

Nein

Gut die Dokumentation ist mäßig ...

https://forums.lenovo.com/t5/ThinkP...ultiple-problems-on-T440s/td-p/3933019/page/4

 

[boisbleu]

Nein

Doch, siehe Kb (bei den Servern ist es ausführlich erklärt):

https://support.microsoft.com/de-de...-to-protect-against-the-speculative-execution

Dort steht auch ganz klar:

Hinweis Der Wert 3 für FeatureSettingsOverrideMask ist sowohl zum Aktivieren als auch Deaktivieren der Einstellungen korrekt. (Weitere Informationen zu Registrierungsschlüsseln finden Sie unter „Häufig gestellte Fragen“.)

Erläuterung dazu:

F9: Können Sie weitere Informationen zu den Registrierungsschlüsseln bereitstellen?

A9: Für die Registrierungsschlüssel gilt Folgendes:

FeatureSettingsOverride stellt eine Bitmap dar, die die Standardeinstellung außer Kraft setzt und bestimmt, welche Risikominderungen deaktiviert werden. Bit 0 steuert die Risikominderung für CVE-2017-5715, und Bit 1 steuert die Risikominderung für CVE-2017-5754. Diese Bits werden auf „0“ festgelegt, um die Risikominderung zu aktivieren, und auf „1“, um die Risikominderung zu deaktivieren.

FeatureSettingsOverrideMask stellt eine Bitmapmaske dar, die in Verbindung mit FeatureSettingsOverride verwendet wird. In diesem Fall verwenden wir den Wert „3“ (dargestellt als „11“ im Binärzahlensystem bzw. im Zahlensystem mit der Basis 2), der die ersten beiden Bits bezeichnet, die den verfügbaren Risikominderungen entsprechen. Dieser Registrierungsschlüssel wird auf „3“ festgelegt, wenn wir die Risikominderungen sowohl aktivieren als auch deaktivieren möchten.

MinVmVersionForCpuBasedMitigations ist für Hyper-V-Hosts. Dieser Registrierungsschlüssel definiert die VM-Mindestversion, die die aktualisierten Firmwarefunktionen verwenden kann (CVE-2017-5715). Diesen Registrierungsschlüssel legen wir auf „1.0“ fest, um alle VM-Versionen abzudecken. Beachten Sie, dass dieser Registrierungswert für Nicht-Hyper-V-Hosts ignoriert wird (ohne Auswirkungen). Weitere Informationen finden Sie unter https://docs.microsoft.com/de-de/virtualization/hyper-v-on-windows/CVE-2017-5715-and-hyper-v-vms.

Gruß Tom

 

[harpo]

Wenn ich mich recht erinnere bewirkte der Wert "2" bei FeatureSettingsOverride genau das umgekehrte von Wert "1", also den Patch für CVE-2017-5754 (Meltdown) zu deaktivieren und den für CVE-2017-5715 (Spectre 2) zu aktivieren? Meine das irgendwo gelesen zu haben...

 

[mcb]

Wenn ich mich recht erinnere bewirkte der Wert "2" bei FeatureSettingsOverride genau das umgekehrte von Wert "1", also den Patch für CVE-2017-5754 (Meltdown) zu deaktivieren und den für CVE-2017-5715 (Spectre 2) zu aktivieren? Meine das irgendwo gelesen zu haben...

Ja genau so jedenfalls funktionieren die von mir geposteten settings

REM CVE-2017-5754 [rogue data cache load] only