Μια σημαντική ευπάθεια ασφαλείας έχει εμφανιστεί που επηρεάζει τις μητρικές κάρτες Gigabyte, MSI, ASRock και ASUS. Οι αναλυτές και οι ερευνητές της Riot Games εντόπισαν ένα κρίσιμο ελάττωμα κατά τη διάρκεια της συνεχιζόμενης έρευνάς τους για την ασφάλεια του συστήματος gaming.
Η ευπάθεια, που ονομάζεται “Sleeping Bouncer”, εκμεταλλεύεται μια αδυναμία στους μηχανισμούς προστασίας πριν από την εκκίνηση που υποτίθεται ότι προστατεύουν το υλικό του υπολογιστή κατά την προετοιμασία του συστήματος.
Το ελάττωμα επιτρέπει στους εισβολείς να εισάγουν κακόβουλο κώδικα κατά τις πρώτες στιγμές της ακολουθίας εκκίνησης ενός υπολογιστή.
Ενώ οι λειτουργίες ασφαλείας εμφανίζονται ενεργοποιημένες στις ρυθμίσεις του BIOS, η υποκείμενη υλοποίηση υλικού αποτυγχάνει να ενεργοποιήσει σωστά τους προστατευτικούς μηχανισμούς.
Αυτό δημιουργεί ένα στενό αλλά εκμεταλλεύσιμο παράθυρο όπου το κακόβουλο λογισμικό μπορεί να αναλάβει τον έλεγχο του συστήματος πριν καν ενεργοποιηθούν τα παραδοσιακά προγράμματα ασφαλείας.
Τα επηρεαζόμενα συστήματα κυμαίνονται από μηχανήματα παιχνιδιών καταναλωτικής ποιότητας έως σταθμούς εργασίας υψηλής τεχνολογίας, καθιστώντας αυτήν την ευπάθεια ευρέως επιδραστική σε ολόκληρη την υπολογιστική κοινότητα.
Η κατανόηση του τρόπου λειτουργίας αυτής της ευπάθειας απαιτεί γνώση του τρόπου εκκίνησης των υπολογιστών. Όταν ένας υπολογιστής ενεργοποιείται, λειτουργεί στο υψηλότερο επίπεδο προνομίων με πλήρη πρόσβαση σε όλα τα στοιχεία του συστήματος.
Το σύστημα φορτώνει το υλικολογισμικό του, το οποίο στη συνέχεια ξεκινά μια αλυσίδα διαδικασιών εκκίνησης υλικού και λογισμικού. Μόνο μετά από αυτήν την περίπλοκη διαδικασία αρχικοποίησης το λειτουργικό σύστημα αναλαμβάνει τον έλεγχο.
Αναλυτές και ερευνητές της Riot Games διάσημος ότι τα στοιχεία που φορτώνονται νωρίτερα σε αυτήν την ακολουθία εκκίνησης διαθέτουν μεγαλύτερα προνόμια και μπορούν να χειριστούν στοιχεία που φορτώνονται αργότερα.
Τα λειτουργικά συστήματα φορτώνονται κοντά στο τέλος αυτής της διαδικασίας, πράγμα που σημαίνει ότι το κακόβουλο λογισμικό μπορεί να φορτωθεί πρώτα, να αποκτήσει αυξημένα προνόμια και να κρυφτεί πριν το λειτουργικό σύστημα έχει την ευκαιρία να αμυνθεί εναντίον του.
Η ευπάθεια στοχεύει συγκεκριμένα τη λειτουργία IOMMU, ένα κρίσιμο χαρακτηριστικό ασφαλείας που λειτουργεί ως αναπηδητής για την πρόσβαση στη μνήμη του συστήματος.
Ευπάθεια Sleeping Bouncer
Η ευπάθεια του Sleeping Bouncer επικεντρώνεται στην προστασία DMA πριν από την εκκίνηση, μια δυνατότητα ασφαλείας του BIOS που εμποδίζει τις αδίστακτες συσκευές να έχουν πρόσβαση στη μνήμη του συστήματος κατά τα πρώτα στάδια εκκίνησης.
Οι κάρτες DMA είναι συσκευές υλικού που έχουν άμεση πρόσβαση στη μνήμη, παρακάμπτοντας τόσο την CPU όσο και το λειτουργικό σύστημα Windows.
Η δυνατότητα υλικού IOMMU ελέγχει ποιες συσκευές έχουν πρόσβαση στη μνήμη, λειτουργώντας σαν ένας φύλακας που ελέγχει την ταυτότητα.
Οι κατασκευαστές υλικολογισμικού ειδοποίησαν στα λειτουργικά συστήματα ότι αυτή η προστασία ήταν πλήρως ενεργή όταν στην πραγματικότητα δεν εκκινούσε σωστά.
Το παράθυρο ευπάθειας παραμένει σύντομο αλλά καταστροφικά αποτελεσματικό. Ενώ η Προστασία DMA πριν την εκκίνηση εμφανίστηκε ενεργοποιημένη στο BIOS, το IOMMU απέτυχε να αρχικοποιηθεί πλήρως κατά τα πρώτα δευτερόλεπτα εκκίνησης.
Ο αναλυτής ασφαλείας του συστήματος εμφανίστηκε σε υπηρεσία αλλά ουσιαστικά κοιμόταν. Μέχρι τη στιγμή που το σύστημα φορτώθηκε πλήρως, δεν μπορούσε να είναι απολύτως βέβαιο ότι δεν είχε εισαχθεί κώδικας παραβίασης της ακεραιότητας μέσω επιθέσεων DMA.
Μια εξελιγμένη εξαπάτηση υλικού χρειάζεται μόνο αυτή τη μικρή ευκαιρία για να εισχωρήσει κρυφά, να εισαγάγει κώδικα και να κρυφτεί πριν ενεργοποιηθούν τα συστήματα ασφαλείας Vanguard.
Οι κατασκευαστές υλικού έχουν κυκλοφορήσει ολοκληρωμένες ενημερώσεις του BIOS που αντιμετωπίζουν αυτό το κρίσιμο ελάττωμα. Η Asus, η Gigabyte, η MSI και η ASRock έχουν δημοσιεύσει όλες τις συμβουλές ασφαλείας με αντίστοιχους αριθμούς CVE.
Οι χρήστες που επηρεάζονται θα πρέπει να ενημερώσουν αμέσως το υλικολογισμικό της μητρικής πλακέτας, επισκεπτόμενοι τους επίσημους ιστότοπους του κατασκευαστή.
Η Vanguard θα επιβάλει αυστηρότερους βασικούς ελέγχους ασφαλείας, περιορίζοντας την πρόσβαση σε ανταγωνιστικό παιχνίδι σε συστήματα με μη επιδιορθωμένες μητρικές πλακέτες ή απενεργοποιημένα χαρακτηριστικά ασφαλείας.
Οι χρήστες που λαμβάνουν ειδοποιήσεις VAN:Restriction πρέπει να ενημερώσουν το υλικολογισμικό πριν συνεχίσουν το παιχνίδι.
Ο επιτυχής εντοπισμός και αποκατάσταση αυτής της ευπάθειας αντιπροσωπεύει ένα σημαντικό επίτευγμα για ολόκληρη τη βιομηχανία τυχερών παιχνιδιών, καθώς μη ανιχνευμένα ελαττώματα θα μπορούσαν να καταστήσουν αναποτελεσματική όλη την υπάρχουσα τεχνολογία ανίχνευσης DMA στην αγορά.
