W skrócie: Odkryliśmy krytyczny błąd w różnych płytach głównych, który może być wykorzystany do wprowadzenia kodu bez zauważenia. Jeśli stanie się tak na twoim systemie, Vanguard wyśle ci komunikat z naszej usługi VAN:Restriction, który poprosi o aktualizację firmware'u płyty głównej.

Witajcie, demony z drabinki.

Ja jestem Mohamed, a niektórzy z was mogą mnie kojarzyć z ksywki ItsGamerDoc na X. To mój pierwszy oficjalny artykuł w Riot. Kuchnia walki z oszustami ciężko pracowała, serwując oszustom kolejne chochle zupy z banem, ale dziś nie chcę się skupiać na przepysznych banach. Zamiast tego, skoncentruję się na tym, co pichcimy na zapleczu: to przepis na bezpieczeństwo, który sprawia, że oszustwa DMA zostają... no cóż... ugotowane.

Dobrze, dość juz tych metafor kulinarnych. W bardzo niedalekiej przyszłości Vanguard zacznie wymuszać ściślejsze sprawdzenia bezpieczeństwa bootowania systemu dla niektórych graczy.

Nie wiecie po co? Cóż, w tym roku wykryliśmy krytyczny błąd w szeregu nowoczesnych płyt głównych. Błąd ten pozwalał oszustom sprzętowym potencjalnie umieścić kod bez zauważenia, nawet gdy ustawienia bezpieczeństwa hosta wyglądały na włączone.

Oto informacja, dlaczego tak się dzieje i — co ważniejsze — co musicie zrobić, jeśli to was dotyczy.

Problem „Co wczytuje się jako pierwsze?”

Aby zrozumieć tę zmianę procedur, musimy porozmawiać o tym, jak zwykle bootuje się wasz komputer. W momencie włączenia komputera PC, znajduje się on w stanie uprzywilejowanym: ma pełny, nieograniczony dostęp do całego systemu i podłączonego sprzętu. System zaczyna od wczytania i uruchomienia początkowego firmware (zwykle UEFI), które następnie uruchamia ciąg inicjalizacji sprzętu, oprogramowania i procedur bezpieczeństwa. Dopiero po tym wszystkim kontrola zostaje przekazana systemowi operacyjnemu, który przez nas zwykle uważany jest za „komputer”.

Powoduje to taki problem, że komponenty wczytywane wcześniej w tym łańcuchu zwykle mają większe przywileje i mogą manipulować komponentami wczytywanymi później. Producenci oszustw doskonale o tym wiedzą. Niestety, system operacyjny, na którym działa nasza gra, wczytuje się niemal na końcu tego procesu. Oznacza to, że oszustwa mogą wczytać się wcześniej, zyskać większe przywileje i ukryć się w systemie zanim system operacyjny albo cokolwiek, co jest na nim uruchamiane, będzie miało szansę się obronić.

Na szczęście istnieją funkcje ochrony takie jak Secure Boot, VBS i IOMMU, które zapewniają bezpieczeństwo. W większości przypadków działają one prawidłowo w powstrzymywaniu ataków z tego kierunku — muszą tylko być włączone.

Strategia Vanguarda jest prosta: jak najszybciej stworzyć perymetr wokół jądra Windows, aby upewnić się, że system nie został spenetrowany. Jeśli oszustwa wczytają się przed naszym systemem, szansa na wykrycie ich będzie mniejsza. Pozwala to oszustwom pozostać niewykrytymi i siać chaos dłużej, niż nam się to podoba.

Odkrycie: Śpiący bramkarz

Pamiętacie, kiedy jakiś czas temu rozmawialiśmy o obecnych funkcjach bezpieczeństwa, które dobrze działają, o ile działają? Porozmawiajmy o jednej z nich, IOMMU.

Przez lata najbardziej efektywną (i drogą) formą oszukiwania było użycie urządzen DMA (Direct Memory Access — bezpośredniego dostępu do pamięci).

Karty DMA to urządzenia sprzętowe, podłączane bezpośrednio do waszego PC i pamięci, omijające procesor i system Windows. Aby je powstrzymać, opieramy się o funkcję sprzętową zwaną IOMMU (Input-Output Memory Management Unit — jednostka zarządzania pamięcią wejścia/wyjścia). IOMMU można nazwać klubowym bramkarzem pamięci RAM — sprawdza on tożsamość każdego urządzenia próbującego zyskać dostęp do pamięci i wyrzuca te, które nie znajdują się na liście gości.

Ochrona DMA przed bootem” to funkcja dostępna w biosach/firmware wielu urządzeń, która korzysta z systemów IOMMU, aby zapobiec nieuprawnionemu dostępowi DMA do pamięci systemu na wczesnym etapie sekwencji bootowania. Daje to wczytanemu systemowi operacyjnemu jako-taką pewność, że inicjalizacja przeszła w miarę poprawnie. Co w teorii jest świetne. Oznacza to jednak też, że system operacyjny musi ufać samej funkcji ochrony.

I właśnie dokładnie to odkryły zespoły badawcze Vanguarda. W niektórych przypadkach firmware producenta niepoprawnie sygnalizowało systemowi operacyjnemu, że funkcje ochronne działają sprawnie, choć tak naprawdę IOMMU nie inicjalizowało się właściwie podczas wczesnego bootowania.

Oznaczał to, że choć ustawienia „Ochrony DMA przed bootem” były włączone w BIOS-ie, implementacja sprzętowa nie inicjalizowała IOMMU w pełni podczas pierwszych sekund procesu bootowania. Tak naprawdę, „bramkarz” systemu był przed drzwiami, ale na chwilę przysnął na krzesełku. A więc gdy system już się w pełni wczytał, nie był w 100% pewny, że żaden niepoprawny kod nie wczytał się poprzez DMA.

To krótkie okno wystarczyło wyszukanym oszustwom sprzętowym na wkradnięcie się, dodanie kodu i ukrycie się, zanim Vanguard się obudził.

Rozwiązanie: zunifikowana aktualizacja

Jakiś czas temu podzieliliśmy się swoimi odkryciami z naszymi partnerami sprzętowymi, a oni od razu zaczęli z nami współpracować. Potwierdzili problem i stworzyli zaawansowane aktualizacje BIOS-u, aby usunąć problem. 

Nie musicie wierzyć nam na słowo – oto informacje od głównych producentów sprzętu: 

Te aktualizacje pozwalają się upewnić, że kiedy już włączycie funkcje ochrony, są one aktywne od pierwszej milisekundy po uruchomieniu komputera.

Co mam zrobić, jeśli pojawi się ograniczenie?

Nasz system VAN:Restriction to sposób, w jaki Vanguard mówi wam, że nie możemy zagwarantować bezpieczeństwa systemu z powodu wskazanych, wyłączonych funkcji bezpieczeństwa. To uniemożliwi wam uruchomienie VALROANT i zobaczycie okno wyskakujące informujące, co musicie zrobić, aby kontynuować grę. Te ograniczenia są stosowane na poziomie konta albo HWID, kiedy wykryjemy podejrzane zachowanie sprzętu lub anomalie statystyczne. Anomalie te mogą wystąpić z powodu różnych czynników, w tym wyłączenia funkcji ochrony albo w tym przypadku z nowo odkrytej wrażliwości przed bootowaniem, która uniemożliwia działanie IOMMU. Otrzymanie takiego ostrzeżenia niekoniecznie znaczy, że podejrzewamy was o oszukiwanie – oznacza, że obecna konfiguracja systemu jest zbyt podobna do konfiguracji oszustów, którzy obchodzą funkcje bezpieczeństwa, aby nie dać się wykryć przez Vanguard. 

Ta minimalna warstwa ochrony jest konieczna, aby walczyć z oszustami. Jeśli ograniczenie pojawi się u was, zanim będziecie mogli kontynuować grę, zostaniecie poproszeni albo o włączenie wspomnianych funkcji albo o aktualizację firmware płyty głównej poprzez wykonanie oficjalnych działań opisanych przez producenta. Więcej o ograniczeniach możecie dowiedzieć się z tej strony wsparcia

Co więcej, zastanawiamy się nad wprowadzeniem tego wymogu dla wszystkich graczy na najwyższym poziomie (od Wschodzącego wzwyż), aby zapewnić godną zaufania warstwę ochrony na szczycie drabinki.

Cel

Aktualizacje BIOS-u nie są tak ekscytujące jak patrzenie na liczbę banów, ale to konieczny krok w wyścigu zbrojeń przeciwko oszustwom sprzętowym. Zamykając wrażliwość przed bootowaniem, neutralizujemy całą klasę wcześniej nietykalnych oszustw i zdecydowanie zwiększamy koszt nieuczciwej gry.

Cała ten wysiłek doprowadził do znaczącego osiągnięcia, nie tylko dla naszego zespołu ds. walki z oszustami, ale dla całej branży gier i wykracza poza Riot Games. Gdyby ten błąd pozostał niezauważony, dostępne obecnie na rynku technologie wykrywania i zapobiegania DMA nie miałyby żadnego sensu. Inne firmy tworzące gry również miałyby problem, gdyż tego rodzaju oszustwa działają w obszarze uprzywilejowanym, do którego systemy walki z oszustami zwykle nie maja dostępu.

Jeśli chcecie działać z wyprzedzeniem i grać bez zakłóceń, możecie już teraz zaktualizować płytę główną do najnowszego firmware, odwiedzając strony producentów. Od roku 2021 podnosimy ogólne standardy bezpieczeństwa w branży gier. Wprowadzenie tych zaawansowanych środków jest teraz powszechne w całej branży, co potwierdzają takie artykuły jak „Budowa zaufanej przyszłości gier: jak ochrona napędza uczciwą rozgrywkę” od Xbox. Te fundamenty ochrony nie podlegają negocjacjom w walce z oszustwami. Możemy z dumą stwierdzić, że jesteśmy pionierami tych systemów bezpieczeństwa i chcemy zachować uczciwe i zaufane otoczenie rywalizacyjne dla każdego.

Dziękujemy za wysiłek związany z wprowadzaniem aktualizacji systemu. Dziękujemy za pomoc w utrzymaniu uczciwości i bezpieczeństwa gier dla wszystkich. Zapraszamy do skontaktowania się ze Wsparciem Gracza Riot, jeśli macie jakieś problemy. Postaramy się was wesprzeć albo odeślemy was do oficjalnych zasobów producenta.