De microcode-laag die chipfabrikanten gebruiken om updates door te voeren, kan gebruikt worden om ransomware te installeren in de diepste lagen van een systeem.
Christiaan Beek, een onderzoeker van softwarebedrijf Rapid7 heeft een manier gevonden om ransomware rechtstreeks in een CPU te injecteren door aangepaste microcode-updates te gebruiken. Daarmee waarschuwt hij voor een onderschatte kwetsbaarheid die diep onder het besturingssysteem zit en werkt.
Kritieke kwetsbaarheid
Microcode is een laag software tussen machine-instructies en de hardware zelf, bedoeld voor bugfixes en updates door de chipfabrikant. Maar het blijkt dus ook mogelijk om deze laag te misbruiken. De ontdekte fout zou aanvallers in staat stellen om de RDRAND-beveiligingsinstructie (Read Random) te omzeilen en aangepaste microcode te injecteren.
Beek vertelt in The Register dat hij een proof-of-concept code heeft geschreven die het proces nabootst. “Natuurlijk gaan we dat niet vrijgeven, maar het is fascinerend. Hiermee kan je elke traditionele beveiligingstechnologie die we hebben omzeilen,” benadrukt hij. De kans dat dit risico uit uitgebuit wordt, is klein maar niet onbestaand. Anders had Beek het zelf niet kunnen uitvoeren.
Beter beveiligen
Hoe aanvallers inbreken “is geen hogere wiskunde”, voegde hij eraan toe. “Wat ik bij veel ransomware-inbreuken zie: het is een kwetsbaarheid met een hoog risico, of bedrijven gebruiken zwakke wachtwoorden zonder multifactorauthenticatie. Dat is frustrerend.”
Wat moeten organisaties doen? Beek dringt er bij iedereen op aan om zich te concentreren op de basisprincipes van cybersecurity. “We besteden als sector veel tijd en geld aan innovatie”, zei hij. “Maar tegelijkertijd verbetert onze cyberweerbaarheid niet voldoende.”
lees ook