Christiaan Beek, direttore senior delle analisi sulle minacce presso Rapid7, ha sviluppato un proof-of-concept per un tipo di ransomware capace di colpire direttamente le CPU. Attacchi di questo tipo, secondo Beek, potrebbero in futuro bloccare l’intero disco di un utente fino al pagamento di un riscatto, eludendo completamente i metodi tradizionali di rilevamento e difesa.

In un’intervista rilasciata a The Register, Beek spiega di aver sfruttato una vulnerabilità presente nei processori AMD della serie Zen, che teoricamente potrebbe permettere a un attaccante particolarmente competente di caricare microcodice non autorizzato, compromettendo la cifratura a livello hardware e modificando il comportamento della CPU.

Quella di Beek non è una scoperta inattesa, visto che negli ultimi anni il team di sicurezza di Google ha individuato una vulnerabilità nei processori AMD Zen 1 fino a Zen 5 che consente l’esecuzione di patch di microcodice non firmate. Fortunatamente, la falla può essere corretta con un aggiornamento del microcodice, come già accaduto in passato con i problemi di instabilità dei chip Raptor Lake di Intel. Tuttavia, l’occasione era troppo ghiotta per non essere colta e così Beek ha scritto un ransomware dimostrativo in grado di nascondersi all’interno della CPU, promettendo però che non lo rilascerà pubblicamente.

Lo scenario prospettato rimane comunque preoccupante: Se si riesce a operare a livello di microcodice o firmware, si può bypassare qualsiasi tecnologia di protezione oggi disponibile“, ha spiegato a The Register. Questo tipo di ransomware rappresenterebbe il peggior caso possibile, visto che sarebbe invisibile agli antivirus, immune a formattazioni o reinstallazioni del sistema operativo e in grado di agire prima ancora dell’avvio del sistema.

attacchi processori intel amd

Crediti: Shutterstock

Beek conclude l’intervista invitando la comunità tecnologica a concentrarsi sulla sicurezza delle fondamenta stesse dell’hardware, anziché rincorrere le minacce quando ormai è troppo tardi. L’esperto di cybersecurity denuncia inoltre il fatto che la maggior parte degli attacchi ransomware si basa ancora su vulnerabilità note, password deboli e assenza di autenticazione, errori evitabili che continuano a mettere a rischio aziende e utenti finali.

Non ci sono però solo le CPU AMD nel possibile mirino dei cybercriminali. Un gruppo di ricercatori del Computer Security Group (COMSEC) del Politecnico di Zurigo (ETH Zurich) ha individuato una nuova classe di vulnerabilità, denominata BPRC (Branch Predictor Race Conditions), che può essere sfruttata per accedere illecitamente alla memoria di altri utenti che condividono la stessa CPU.

Il problema riguarda tutti i processori Intel, dai PC ai server cloud, e consiste in una falla che si manifesta durante pochi nanosecondi nel cambio di contesto tra utenti con privilegi diversi. In questo  brevissimo intervallo, un attaccante può sfruttare input mirati per creare ambiguità nell’assegnazione dei privilegi, ottenendo così accesso alla memoria cache e alla RAM altrui.

Sebbene l’estrazione di un singolo byte sia poca cosa, l’attacco può essere ripetuto fino a leggere oltre 5000 byte al secondo, permettendo di ricostruire interi blocchi di memoria riservata. Si tratta di un rischio particolarmente grave negli ambienti cloud, dove più utenti condividono le stesse risorse hardware.

La vulnerabilità si inserisce in un quadro più ampio di problematiche legate all’esecuzione speculativa dei processori, come già avvenuto con Spectre, Meltdown e Retbleed. I ricercatori sottolineano come si tratti di un difetto strutturale nell’architettura delle CPU moderne, che richiederà correzioni puntuali tramite aggiornamenti del microcodice distribuiti via BIOS o sistema operativo. Intel ha già iniziato a implementare contromisure, ma il problema resta aperto e potenzialmente molto esteso.

(Immagine in apertura: Shutterstock)