Производители процессоров обычно используют обновления микрокода для устранения ошибок и повышения надёжности. Однако низкоуровневый слой между «железом» и машинным кодом может стать скрытым каналом атаки, поскольку способен прятать вредоносные нагрузки от всех программных систем защиты. По мере развития угроз даже самые глубокие уровни системы больше нельзя считать безопасными.
Исследователь в области безопасности разработал способ «вооружить» обновления микрокода, чтобы установить приложения-вымогатели напрямую в процессор. Аналитик Rapid7 Кристиан Бик использовал критическую уязвимость в процессорах AMD Zen, обнаруженную исследователями Google в начале года. Уязвимость позволяет злоумышленникам модифицировать инструкцию RDRAND и внедрить собственный микрокод, который всегда выбирает «4» при генерации случайного числа.
Теоретически обновления микрокода должны быть доступны только производителям процессоров, чтобы гарантировать установку корректного обновления только на совместимые чипы. Хотя внедрить собственный микрокод сложно, это не невозможно, как показывает уязвимость RDRAND. Используя свои знания в области безопасности прошивок, Бик решил создать вымогательское программное обеспечение на уровне процессора.
Издание The Register отмечает, что эксперт по безопасности разработал рабочий прототип (PoC), в котором вредоносный код вымогателя скрывается внутри процессора. Он не планирует публиковать никакие материалы или исходный код PoC. Киберпреступники могли бы обойти все традиционные технологии защиты после компрометации процессора или прошивки материнской платы с использованием метода Бика.
Бик подчеркнул, что угрозы вымогательского ПО на крайне низком уровне — не просто теория. Например, буткит BlackLotus может заражать прошивку UEFI и атаковать системы с активной защитой Secure Boot. Он также процитировал утечку 2022 года из чата группы Conti, распространявшей вымогательское ПО. Разработчики Conti якобы работали над PoC, который устанавливает вымогатель прямо в прошивку UEFI.
«Если мы модифицируем прошивку UEFI, мы можем запустить шифрование до загрузки ОС. Ни один антивирус это не обнаружит», — заявили киберпреступники.
Если бы несколько способных хакеров начали исследовать такую угрозу несколько лет назад, сказал Бик, самые умелые из них наверняка добились бы успеха. Он раскритиковал IT-индустрию за погоню за трендами вместо устранения базовых проблем. Пока корпорации сосредотачиваются на агентных ИИ, машинном обучении и чат-ботах, фундаментальная безопасность остаётся под угрозой.
