Çağrının kaynağı olan Pozitif Teknolojiler laboratuvarının araştırmacıları ortaya koydular ki yeni Intel işlemcilerin hata bulucu arayüzüne USB 3.0 bağlantı kanalıyla erişim imkanı veren açık, erişilen sistemin tüm kontrol kademesini ele geçirerek şu anki güvenlik aygıtlarıyla tespit edilemeyecek saldırılar yapmakta kullanılabilir. Olası bir saldırgan bu yolla, tüm güvenlik seviyelerini geçerek belli bir süre için kod yerleştirme, tüm veri akışını izleme ve hatta sistemi çalışamaz hale getirmek yetkilerini ele geçirebilir; örneğin BIOS düzenlemesini değiştirir.
Almanya Hamburg Eyaleti’nin düzenlediği 33. Karmaşa İletişim Kongresi’nde konuşmacılar Maxim Goryachy ve Mark Ermolov, bu saldırılara karşı mekanizmalar ve korunma biçimleri hakkında söz aldılar. İkili, “Bu mekanizmalar işlemci yapımcılarının elinde geçerli bir amaç taşıyorlar, örneğin donanım tanımlanırken özel hata çözme özellikleri gibi yararlı işlevler barındırıyorlar. Yine de bu aygıtlar, zor kullanan saldırganların da erişimine açık bulunuyor. Böylesi saldırıları gerçekleştirebilmek, herhangi bir özel kuvvetler ekipmanı gereksiniminden ziyade, hiçbir hususi teçhizat bile olmadan yapılabiliyor.
Konuşmacılar bu mekanizmalardan birisini sergiledikleri tahlil seanslarında, resmi adı JTAG(Bileşik Deneme Eylem Destesi) olarak geçen hata çözümleme arayüzünün, USB girişi sayesinde tehlikeli ve takip edilemez saldırılar gerçekleştirebilmekteki tehlikesini gösterdi. JTAG, yazılım katmanının ötesine erişim sağlayarak işletim sistemi çekirdeğinin, işletim sistemi kullanıcı ara katmanının ve sürücülerinin çözümlenmesine yarıyor. Bir yandan da maalesef bu gibi kötü niyetli işlemci erişimi faaliyetlerinde yer alabiliyor.
Daha önceki Intel işlemcilerde, JTAG erişimi, anakarttaki özel ITP-XDP çözümleme bağlantı noktasına özel erişim gerektiriyordu. JTAG, bu özel tertibatlı erişim seviyesiyle hem sorun çözücüler için hem de olası saldırganlar için zorlu bir erişim yoluydu. Ne var ki ilk olarak Skylake işlemci serisi üzerinden 2015 yılında tanıtılan Doğrudan Bağlantı Arayüzü(DCI) kapısı, yaygın olarak bulunan USB 3.0 girişleri aracılığıyla JTAG çözümleme arayüzüne erişim iznini düzenliyor. Bir yazılım veya donanım hüneri olmaksızın sadece DCI arabiriminin aktifleştirilmesiyle hedef bilgisayarlar tehlike altına girebiliyor. Araştırmacıların tespitinin gösterdiği gibi bunun birden çok şekilde birden çok bilgisayarda kutudan çıktığı gibi yapılabilir halde olan bu erişimlere karşı herhangi bir güvenlik emniyeti gözetilmemiş.
Mobil Seriler Riskte!
SC UK Medya'nın Maxim Goryachy ile yaptığı röportajda bu DCI arabirimi üzerinden insanların nasıl dolandırılabilecekleri sorununa yanıtlar arandı. Goryyachy, "Bunun gerçekleştirilebilmesi birden çok şekilde yapılabilir. Bir saldırganın, BIOS düzenlemesini değiştirerek - örneğin, bir Flash programlayıcısı sayesinde - bilgisayarın yapımı veya saklanması hatta kullanımı sürecindeki bir erişimle bu saldırıyı gerçekleştirebileceğini söyledi. Bazı BIOS'lar bu DCI düzenlemesini engellemekten geri kalıyor, dolayısıyla ehli olmayan ellerde DCI arabiriminin çalıştırılması olası tehlikesini doğuruyor.
Goryachy ve Ermolov, bu mekanizmaların Intel işlemcilerde topyekün yeni bir sınıf "Zararlı USB" türevi saldırılara geçit verdiği öngörüsünde bulunduysa da bunların öncüllerinden daha da vahim ve geniş tehlike seviyesinde olduklarını belirtti.
Son sözlerini, birkaç korunma önlemi üzerine sarfederek bunların Intel BootGuard özelliği üzerinden yapılabilecekler ile bu çözümleme arayüzüne erişimi sınırlamak kapsamında çözümler teklif ettiler.
Goryachy soru üzerine, bunun Stuxnet ile kıyaslanmasına, "Hiçbir işletim sistemi gözetmeksizin, ele geçirilmiş sistemlerin tamamında kullanılabileceğini, bu nedenle de Stuxnet gibi yalnızca Windows tabanlı makinalarda sorun olan zararlılarla kıyaslandığında DCI, Intel U-Serisi işlemcilerin kullanıldığı her dizüstü ve NUC küp bilgisayar sisteminde zararlı aktivite gösterebileceğini ve buna karşı hiçbir savunma mekanizmasının saptama olanağının olmadığı" yanıtını verdi.
Goryachy, kendilerinin gerekli tüm girişimlerde bulunarak bulguları Intel'e rapor ettiklerini ve günümüzde bu sürecin sadece U-Serisi Intel işlemcilerinde kötüye kullanılabileceğini ifade ediyor.
Bu haberi, mobil uygulamamızı kullanarak indirip,istediğiniz zaman (çevrim dışı bile) okuyabilirsiniz:
Bana çok korkutucu geliyor bunlar.