AMD hat eine neue Version der AMD Generic Encapsulated Software Architecture (AGESA) and die Server und Mainboardhersteller verteilt. Diese müssen die AGESA nun in ein BIOS Update integrieren und ausliefern.

Betroffen sind alle aktuellen AMD EPCY Generationen, die AGESA Releases, die die Securitypatches enthalten, lauten:

• NaplesPI-SP3_1.0.0.G
• RomePI-SP3_1.0.0.C
• MilanPI-SP3_1.0.0.4

Details über die Security Lücken hat AMD im Server Vulnerabilities Bulletin AMD-SB-1021 veröffentlicht.

Die ersten Server Hersteller wie DELL, HPE, Lenovo und Supermicro bieten bereits aktualisierte BIOS Versionen an. Diese sollten umgehend eingespielt werden.

Einige Sicherheitsforscher bemängeln, dass teile der Sicherheitslücken schon 2019 gemeldet wurden. Andere Lücken ähneln schon seit 2015 für Intel CPUs bekannten Problemen - beispielsweise Speed Racer.

Das "LoJax" Rootkit nutzt einige dieser Lücken um sich direkt in das UEFI-BIOS einzunisten. Dies wurde schon 2020 von Kaspersky nachgewiesen.

Wir empfehlen allen Nutzern von AMD EPYC Server die BIOS-Updates umgehen einzuspielen.