Un nuovo exploit nasconde codice malevolo nella VRAM della scheda video

È stato scoperto un nuovo modo per sfruttare la memoria delle schede video allo scopo di eseguire codice malevolo sui PC.

Avatar di Antonello Buzzi

a cura di Antonello Buzzi

Editor

I criminali informatici stanno cercando di sfruttare le schede grafiche nascondendo codice dannoso all'interno della VRAM, impendendone in questo modo il rilevamento da parte degli scanner antivirus che analizzano la RAM principale del PC. Stando ai colleghi di Bleeping Computer, sembra che solo pochi giorni fa sia stato venduto online il proof-of-concept (PoC) di uno strumento che rende possibile questo tipo di attacco.

Le moderne schede grafiche rappresentano dei veri e propri ecosistemi completi che si concentrano solo sull'accelerazione della grafica. Contengono migliaia di core per l'accelerazione video, pochi core di controllo per la gestione di tutto e, naturalmente, il proprio buffer di memoria (VRAM) per caricare tutte le texture. Secondo il forum di hacker citato da BleepingComputer, è possibile nascondere codice malevolo nel buffer di memoria della scheda grafica senza che il resto del sistema riesca a rilevarlo. I dettagli erano limitati, ma il post è apparso sul web l'8 agosto e, secondo quanto riferito, lo strumento è stato venduto il 25 agosto per un importo non precisato.

Anche se non conosciamo esattamente il funzionamento dell'exploit, l'hacker ha offerto il toolkit con il PoC descrivendolo come un exploit che alloca lo spazio degli indirizzi nella VRAM della GPU e inserisce ed esegue furtivamente il codice da lì, poiché l'antivirus non può scansionare la VRAM. Per l'esecuzione dell'exploit, un utente ha bisogno di un PC Windows che supporti OpenCL 2.0 o versioni successive. Inoltre, è stato presumibilmente testato e funziona con le GPU integrate Intel UHD 620/630 e le schede Radeon RX 5700, GeForce GTX 740M e GTX 1650. Il gruppo Vx-underground ha affermato su Twitter che presto dimostrerà la validità di questa tecnica.

È importante far notare che questa non è la prima volta che viene scoperto un simile exploit. Alcuni anni fa, alcuni ricercatori avevano pubblicato l'attacco open source Jellyfish che sfruttava la tecnica LD_PRELOAD di OpenCL per connettere le chiamate di sistema e la GPU e forzare l'esecuzione di codice dannoso dalla GPU. Nel caso foste interessati, potete accedere alla pagina ufficiale su GitHub direttamente da qui.