İnternet kullanıcılarının ve teknolojik aletlerin yaygınlaşmasıyla birlikte siber güvenlik problemleri da büyümeye devam ediyor. Siber hatalılar, ekran kartı içerisinde yer alan VRAM’in içinde berbat gayeli kodlar saklayarak kartlardan yararlanmaya çalışıyor. Böylece belleğe aktarılan tüm kodlar, bilgisayarın ana RAM’ini tarayan antivürüs araçlarından gizlenmiş oluyor.
Bleeping Computer‘ın raporuna nazaran, birkaç gün öncesinde bu senaryoyu mümkün kılan bir araç çevrimiçi olarak satıldı. Ekran kartlarının tek emelini 3B iş yüklerini işlemek ve hızlandırmak olarak tanımlayabiliriz. Bunun yanında çağdaş kartlar, görüntü hızlandırma için binlerce çekirdek, bunları yönetmek için birkaç denetim çekirdeği ve oyun dokularını işlemek için kendi VRAM’lerine sahipler.
Görünüşe bakılırsa bilgisayar korsanları, makus emelli yazılımları ekran kartlarının içinde yer alan belleklere gizleme yolunu tercih etmeye başladı. Bu mevzuda detaylar hudutlu, lakin bu cins bir araç 8 Ağustos’ta internet ortamına düştü ve gelen bilgilere nazaran 25 Ağustos’ta satışı yapıldı.
Bu açığın nasıl çalıştığı tam olarak bilinmiyor ve korsanların geliştirdiği araç seti, GPU VRAM’inde adres alanı tahsis edebiliyor. Antivürüs yazılımları bildiğiniz üzere VRAM’ler üzerinde tarama yapmıyor, hasebiyle buraya yerleştirilen berbat maksatlı yazılımlar algılanamıyor.
Güvenlik istismarının çalışması için kullanıcının OpenCL 2.0 yahut üstünü destekleyen bir Windows PC’ye muhtaçlığı var. Argümana nazaran göre birtakım testler yapılırken Intel’in UHD 620/630 entegre grafikleri, Radeon RX 5700, GeForce GTX 740M ve GTX 1650 üzere grafik kartlarında çalışıyor.
Aslına bakarsanız buna misal bir güvenlik açığı daha evvel de gündeme gelmişti. Birkaç yıl evvel araştırmacılar, sistem komutlarını GPU’ya bağlayan ve buradan makus hedefli kodları çalıştıran OpenCL LD_PRELOAD tekniğini keşfetmişlerdi. Bu tekniği kullanan açık kaynaklı güvenlik sorunu ise Jellyfish olarak isimlendirildi. Bu kodlar, rastgele bir virüs taramasında algılama olmadan kodu gizlemek için OpenCL’nin kullanılabileceğini gösteriyor.