Эксперт показал концепт CPU-вымогателя, использующего уязвимость микрокода AMD Zen

Кибербезопасник Кристиан Бек из Rapid7 представил proof-of-concept (PoC) атаки нового типа — программный вымогатель, способный воздействовать на микрокод центрального процессора. Эксперт утверждает, что подобная вредоносная программа может полностью обойти привычные средства защиты, включая антивирусы и шифрование на уровне ОС.

По словам Бека, идея возникла после изучения уязвимости в процессорах AMD Zen 1–Zen 5, которая позволяла загружать неподписанные патчи микрокода. Хотя AMD позже выпустила исправление, уязвимость в Zen 5 подтвердилась повторно, и эксперты уже работают над новыми версиями прошивок AGESA. Однако уязвимость временно оставляла возможность атаки на саму основу аппаратной логики CPU, включая шифрование.

Эксперт реализовал вредоносный код, способный модифицировать поведение процессора на низком уровне. Бек подчёркивает, что не будет публиковать этот код, но отмечает, что «рано или поздно злоумышленники научатся делать то же самое». Потенциально это может привести к зашифровке диска до загрузки ОС, либо к загрузке альтернативного UEFI-загрузчика, который блокирует систему.

Он также привёл примеры из утечек хак-группы Conti, где обсуждались атаки на UEFI и BIOS. «Наша цель — внедрить вымогатель в прошивку, чтобы даже после переустановки Windows шифрование оставалось активным», — цитирует эксперт обсуждение. Взлом BIOS и внедрение собственного загрузчика — это новый рубеж атак, предупреждает Бек.

Он подчеркнул, что большинство подобных угроз остаются реальными из-за слабых паролей, отсутствия двухфакторной аутентификации и устаревших прошивок. Бек призывает производителей и исследователей объединиться для укрепления аппаратной безопасности: «В 2025 году мы не должны всё ещё говорить о вымогателях. Мы должны решать фундаментальные проблемы архитектуры».