Son dönemde siber güvenlik camiasını alarma geçiren yeni bir gelişme, fidye yazılımlarının artık yalnızca yazılım katmanında değil, donanım seviyesinde de faaliyet gösterebileceğini ortaya koydu. Rapid7 bünyesinde çalışan siber güvenlik uzmanı Christiaan Beek tarafından geliştirilen bir konsept çalışma, işlemci (CPU) seviyesinde çalışan bir fidye yazılımının mümkün olduğunu gösterdi. Bu tür bir saldırı modeli, mevcut antivirüs çözümleri, güvenlik duvarları ve işletim sistemi düzeyindeki koruma mekanizmalarının tamamını devre dışı bırakma potansiyeline sahip.
AMD Zen Mimarisi İşlemcilerde Kritik Güvenlik Açığı
Google’ın güvenlik araştırmacıları tarafından tespit edilen güvenlik açığı, AMD Zen 1’den Zen 5’e kadar uzanan işlemcilerde mevcut. Bu açıklık, işlemcilerin yüklediği mikro kod yamalarının doğrulama mekanizmasındaki bir zafiyetten kaynaklanıyor. Normal şartlarda sadece AMD tarafından dijital olarak imzalanmış mikro kodlar yüklenebilirken, bu açık sayesinde imzasız, hatta kötü niyetli mikro kodların bile işlemciye yüklenmesi mümkün hale geliyor.
CVE-2024-56161 olarak tanımlanan bu açık, aşağıdaki işlemci serilerini doğrudan etkiliyor:
- EPYC 7001 (Naples)
- EPYC 7002 (Rome)
- EPYC 7003 (Milan / Milan-X)
- EPYC 9004 (Genoa / Genoa-X / Bergamo / Siena)
Zen mimarisini kullanan tüketici sınıfı AMD Ryzen işlemcilerin de bu açıkla dolaylı olarak ilişkili olabileceği belirtiliyor.
Mikro Kod Tabanlı Saldırıların Etki Alanı
Modern işlemciler, donanımsal hataları gidermek amacıyla mikro kod yamalarını destekler. Ancak bu özellik kötü niyetli gruplar ve bireyler tarafından kullanıldığında, işlemcinin çalışma biçimini tamamen değiştirilebilir. Google’ın hazırladığı bir proof-of-concept, işlemcinin kriptografide kullanılan RDRAND komutunu rastgele bir veri sağlamak yerine sabit bir sayı (örneğin “4”) sağlayacak şekilde değiştirebildiğini gösterdi. Bu durum, şifreleme, kimlik doğrulama ve rastgele sayı üretimine dayanan sistemlerin tamamının güvenilirliğini ortadan kaldırabilir.
Beek’in gerçekleştirdiği konsept çalışmada ise bu açıklık daha da ileri götürülerek, işlemciye bulaşan bir fidye yazılımı geliştirildi. Teoride bu yazılım, sistemin BIOS’una entegre edilerek, işletim sistemi yüklenmeden önce diski kilitleyebilir. Söz konusu senaryoda kullanıcılar, işletim sistemini yeniden kursalar dahi şifrelenen verilere erişemez.
Saldırıların Teknik Dinamikleri
Risk Değerlendirmesi ve Güncelleme Süreci
Bu güvenlik açığına yönelik yamalar yalnızca OEM üreticiler tarafından BIOS güncellemeleri şeklinde sunuluyor. Windows Update veya benzeri işletim sistemi güncellemeleri üzerinden dağıtımı yapılmıyor. Bu da birçok sistemin uzun bir süre savunmasız kalabileceği anlamına geliyor.
Açığın CVSS skoru 7.2 olarak değerlendirilmiş olsa da, teknik etkileri göz önünde bulundurulduğunda etki alanı çok daha yüksek. Mikro kod seviyesindeki bu tür açıklar, tedarik zinciri güvenliği açısından da büyük riskler barındırıyor.
Geleceğe Dair Öngörüler
Siber güvenlik uzmanları, bu tür saldırıların gelecekte yaygınlaşabileceği konusunda uyarılarda bulunuyor. 2022 yılında sızdırılan Conti fidye yazılımı çetesi mesajlarında, UEFI üzerinden çalışan fidye yazılımı planlarından bahsedildiği görülmüştü. Bu da, tehlikeli grupların ve bireylerin bu alana yönelme niyetini uzun süredir taşıdıklarını gösteriyor.
Christiaan Beek’in ifadesiyle, “Bu seviyede bir fidye yazılımı tüm geleneksel güvenlik mekanizmalarını aşabilir.” Bu nedenle, donanım seviyesinde güvenliğin sağlanması artık sadece kurumsal düzeyde değil, bireysel kullanıcılar açısından da kritik hale gelmiş durumda.
