Yonga üreticileri genellikle hataları düzeltmek ve CPU güvenilirliğini artırmak için mikro kod güncellemeleri kullanır. Ancak, donanım ve makine kodu arasındaki bu düşük seviyeli katman aynı zamanda gizli bir saldırı vektörü olarak da hizmet edebilir; kötü amaçlı yükleri tüm yazılım tabanlı savunmalardan gizleyebilir. Tehditler geliştikçe, bir sistemin en derin katmanlarının bile artık güvenli olduğu varsayılamaz.
Bir güvenlik araştırmacısı, fidye yazılımını doğrudan CPU'ya yüklemek için mikro kod güncellemelerini "silahlaştırmanın" bir yolunu tasarladı . Rapid7 analisti Christiaan Beek, Google araştırmacıları tarafından bu yılın başlarında keşfedilen AMD'nin Zen işlemcilerindeki kritik bir kusurdan ilham aldı . Bu kusur, saldırganların RDRAND talimatını değiştirmesine ve rastgele bir sayı üretirken her zaman "4"ü seçen özel bir mikro kod enjekte etmesine olanak tanıyabilir.
Mikro kod güncellemeleri teorik olarak yalnızca CPU üreticilerine özel olmalı ve doğru güncellemenin yalnızca uyumlu işlemcilere yüklenmesini sağlamalıdır. Özel bir mikro kod enjekte etmek zor olsa da, RDRAND açığının gösterdiği gibi imkansız değildir. Beek, aygıt yazılımı güvenliği konusundaki bilgisini kullanarak CPU düzeyinde bir fidye yazılımı yazmaya koyuldu.
Register, güvenlik uzmanının işlemcinin içine bir fidye yazılımı yükü gizleyen bir kavram kanıtı (PoC) geliştirdiğini belirtiyor . Bu atılımı "büyüleyici" olarak nitelendirdi, ancak PoC'den herhangi bir belge veya kod yayınlamayı planlamıyor. Siber suçlular, Beek'in yöntemini kullanarak CPU veya anakart aygıt yazılımını tehlikeye attıktan sonra tüm geleneksel güvenlik teknolojilerini atlatabilir.
Beek, aşırı düşük seviyeli fidye yazılımı tehditlerinin sadece teorik olmadığını vurguladı. Örneğin, kötü şöhretli BlackLotus önyükleme seti, UEFI aygıt yazılımını tehlikeye atabilir ve Güvenli Önyükleme ile korunan sistemleri enfekte edebilir. Ayrıca Conti fidye yazılımı grup sohbet günlüğü 2022 ihlalinden kesitler aktardı . Conti geliştiricilerinin, fidye yazılımını doğrudan UEFI aygıt yazılımına yüklemek için bir PoC üzerinde çalıştıkları bildirildi.
Siber suçlular, "UEFI aygıt yazılımını değiştirirsek, işletim sistemi yüklenmeden önce şifrelemeyi tetikleyebiliriz. Hiçbir AV bunu tespit edemez" dedi. Doğru istismarla, imzasız güncellemelerin gizli fidye yazılımı kurulumunu gerçekleştirmesine izin veren savunmasız UEFI sürümlerini kötüye kullanabilirler.
Beek, birkaç yetenekli kara şapkalı hacker'ın yıllar önce bu tür tehditleri araştırıyor olsaydı, aralarındaki en yetenekli olanın sonunda başarılı olacağını söyledi. BT sektörünü temel sorunları çözmek yerine trendleri takip etmekle eleştirdi. Şirketler aracı yapay zekaya, makine öğrenimine ve sohbet robotlarına odaklanırken, temel güvenlik ihmal edilmeye devam ediyor. Fidye yazılımı çeteleri zayıf parolalar, yüksek riskli güvenlik açıkları ve zayıf çok faktörlü kimlik doğrulaması yoluyla her yıl milyarlarca dolar kazanıyor.
Kaynak :
https://www.techspot.com/news/107883-ra ... warns.html
