Fantoma din mașină ajunge la cele mai profunde fundamente ale infrastructurii de calcul
Linia de jos: Chipmakers folosesc de obicei actualizări de microcod pentru a repara erorile și pentru a îmbunătăți fiabilitatea procesorului. Cu toate acestea, acest strat de nivel scăzut între hardware și codul mașinii poate servi, de asemenea, ca un vector de atac furios-capabil să ascundă sarcini utile rău intenționate de toate apărările bazate pe software. Pe măsură ce amenințările evoluează, chiar și cele mai profunde straturi ale unui sistem nu mai pot fi asumate în siguranță.
Un cercetător de securitate a conceput o modalitate de a „armă” actualizări de microcod pentru a instala ransomware direct pe CPU. Analistul Rapid7, Christiaan Beek, s -a inspirat dintr -un defect critic al procesoarelor Zen AMD, descoperit de cercetătorii Google la începutul acestui an. Defectul ar putea permite atacatorilor să modifice instrucțiunea RDRAnd și să injecteze un microcod personalizat care selectează întotdeauna „4” atunci când generează un număr aleatoriu.
Actualizările microcodelor ar trebui, teoretic, exclusiv pentru producătorii de CPU, asigurând instalările de actualizare corectă numai pe procesoare compatibile. În timp ce injectarea unui microcod personalizat este dificilă, nu este imposibil, așa cum demonstrează defectul RDRand. Folosind cunoștințele sale despre securitatea firmware-ului, Beek și-a propus să scrie un ransomware la nivel de procesor.
Registrul observă că expertul în securitate a dezvoltat o dovadă de concept (POC) care ascunde o sarcină utilă ransomware în interiorul procesorului. El a descris descoperirea drept „fascinantă”, deși nu are de gând să elibereze vreo documentație sau cod de la POC. Cybercriminalii ar putea ocoli toate tehnologiile tradiționale de securitate după compromiterea CPU sau a firmware -ului plăcii de bază folosind metoda Beek.
Beek a subliniat că amenințările de ransomware la nivel extrem de scăzut nu sunt doar teoretice. Infamul Blacklotus Bootkit, de exemplu, poate compromite firmware -ul UEFI și poate infecta sisteme protejate de boot -ul securizat. De asemenea, el a citat fragmente de la Conti Ransomware Group Chat Jurnal 2022 Breach. Se pare că dezvoltatorii CONTI au lucrat la un POC pentru a instala ransomware direct în firmware -ul UEFI.
„Dacă modificăm firmware -ul UEFI, putem declanșa criptarea înainte de încărcarea sistemului de operare. Niciun AV nu poate detecta acest lucru”, au declarat ciberbercriminalele.
Cu exploatarea corectă, aceștia ar putea abuza de versiuni UEFI vulnerabile care au permis actualizărilor nesemnate să efectueze instalarea Ransomware ascunsă.
Dacă câțiva hackeri capabili de pălării negre ar explora acest tip de amenințare cu ani în urmă, a spus Beek, cei mai pricepuți dintre ei ar fi reușit în cele din urmă. El a criticat industria IT pentru urmărirea tendințelor în loc să rezolve probleme de bază. În timp ce corporațiile se concentrează pe AI agent, învățare automată și chatbots, securitatea fundamentală rămâne neglijată. Gandele Ransomware se rake în miliarde anual prin parole slabe, vulnerabilități cu risc ridicat și autentificare slabă cu mai mulți factori.
