Özet: Çeşitli anakartlarda, tespit edilmeden kod aktarımı yapmak için kullanılabilecek kritik bir açık keşfettik. Eğer sisteminiz bundan etkilendiyse Vanguard, anakartınızın yazılımını güncellemeniz için size VAN:Kısıtlama hizmetini sunacak.

Selam hırslı tırmanıcılar.

Benim adım Mohamed. Bazılarınız beni X'teki ItsGamerDoc kullanıcı adımla tanıyor olabilir. Bu benim ilk resmi Riot makalem. Hile Koruması Ekibi mutfakta sizi hilecilerden korumak için durmaksızın kepçe kepçe uzaklaştırma sunmaya devam ediyor. Fakat bugünkü konumuz bu iştah kabartan uzaklaştırmalar değil. Bunun yerine mutfağın arka tarafında kaynayan şeye odaklanmak istiyorum. Bir güvenlik uygulaması tarifi geliştirdik ve bu tarif sayesinde doğrudan bellek erişimi hileleri... ayvayı yiyecek.

Neyse bu kadar yiyecek benzetmesi yeter. Çok yakında Vanguard belirli oyunculara karşı daha katı sistem başlangıç kontrolleri uygulamaya başlayacak.

Neden mi? Çünkü bu yılın başında birçok modern anakartı etkileyen kritik bir güvenlik açığı keşfettik. Bu açık, kullanıcı bilgisayarındaki güvenlik önlemleri etkin olduğunda bile donanım hilelerinin tespit edilmeden kod aktarımı yapabilmesine olanak tanıyordu.

Şimdi bunun neden olduğuna ve daha önemlisi bundan etkilendiyseniz ne yapmanız gerektiğine bir bakalım.

"İlk Ne Yüklenecek?" Sorunu

Bu değişikliği daha iyi anlayabilmek için önce bilgisayarınızın normalde nasıl başlatıldığıyla ilgili konuşmalıyız. Bilgisayarınız ilk açıldığı anda en ayrıcalıklı durumundadır. Bu aşamada bilgisayarınız sistemin tamamına ve bağlı tüm donanımlara tam, kısıtlamasız erişime sahiptir. Sistem ilk gömülü yazılımların (genellikle UEFI) yüklenip çalıştırılmasıyla başlar. Bu esnada donanım, yazılım ve güvenlik bileşenlerinin sırayla hazırlanmasını sağlayan bir zincir tetiklenir. Sadece tüm bunlar tamamlandıktan sonra kontrol işletim sistemine devredilir ve genellikle "bilgisayar" dediğimizde aklımıza gelen şey bu noktada başlar.

Bunun ortaya çıkardığı sorun, zincirde daha erken yüklenen bileşenlerin genellikle daha fazla ayrıcalığa sahip olması ve kendilerini takip eden bileşenleri etkileyebilmesidir. Hile geliştiricileri bunu çok iyi bilir. Maalesef oyunun üzerinde çalıştığı işletim sistemi bu sürecin sonuna doğru yüklenir. Bu da hilelerin, işletim sistemi ya da onun üzerinde çalışan yazılımlar kendilerini koruma fırsatı bile bulamadan sisteme daha erken girip daha yüksek ayrıcalıklar elde ederek iyice gizlenebilmesi anlamına gelir.

Neyse ki Güvenli Önyükleme, VBS ve IOMMU gibi güvenlik özellikleri halihazırda güvenliği sağlıyor. Bu özellikler açık olduğunda ve doğru çalıştığında bu saldırı yöntemine karşı önlem almakta çoğu zaman oldukça etkililer.

Vanguard'ın stratejisi basit: Windows'un çekirdeği etrafında bir koruma alanı oluşturarak sistemin açık vermesini olabildiğince erkenden engellemek. Eğer bir hile bizden önce yüklenirse onu bulamayacağımız bir yere saklanma olasılığı daha yüksek. Bu durum hilelerin sisteminizde tespit edilmeden kalması için bir fırsat oluşturuyor. Böylece hileciler oyunlarınızda çok fazla kargaşaya yol açıyor.

Keşif: Uykucu Güvenlik

Az önce doğru çalıştıklarında çok iyi iş yapan mevcut güvenlik özelliklerinden bahsetmiştik, hatırladınız mı? Hadi onlardan biri olan IOMMU'dan bahsedelim.

Yıllardır en etkili (ve pahalı) hile yöntemleri DMA (Doğrudan Bellek Erişimi) cihazlarını kullanıyor.

DMA kartları, bilgisayarınıza doğrudan bağladığınız ve işlemci ile Windows'u atlayarak doğrudan RAM'le etkileşime geçen donanım cihazlarıdır. Onları durdurabilmek için IOMMU (Girdi-Çıktı Hafıza Yönetimi Birimi) adı verilen bir donanım özelliğinden yararlanıyoruz. IOMMU'yu RAM'inizi koruyan bir güvenlik görevlisi olarak düşünebilirsiniz, belleğe erişim sağlamaya çalışan her cihazın kimliğini kontrol eder ve misafir listesinde yer almayanları içeri almaz.

"Başlatma Öncesi DMA Koruması" birçok cihazın BIOS veya donanım yazılımında bulunan ve IOMMU'yu kullanarak sistemin başlatma sürecinin erken aşamalarında belleğe yetkisiz DMA erişimini engelleyen bir güvenlik özelliğidir. Bu sayede işletim sistemi, üstünde çalıştığı sistemin tahmin edilebilir bir bütünlükle başlatıldığına dair güven kazanır. Teoride çok iyi olsa da bu aynı zamanda işletim sisteminin güvenlik özelliğine güvenmesi gerektiği anlamına gelir.

Vanguard Ekibi'nin araştırmasının ortaya çıkardığı şey tam da bununla ilgili. Bazı durumlarda donanım imalatçılarının yazılımları, IOMMU'nun erken başlatma aşamalarında doğru kurulamamış olmasına rağmen işletim sistemine bu özelliğin tamamen etkin olduğu sinyalini gönderiyordu.}

Böylece BIOS ayarlarında "Başlatma Öncesi DMA Koruması" etkin görünürken bunun altında yatan donanım aslında başlatma sürecinin erken safhalarında IOMMU'yu tamamen kuramıyordu. Özünde sistemin "güvenliği" görev başında gibi görünürken aslında sandalyesinde uyuyordu. Nitekim sistem tamamen yüklenene kadar bütünlüğünü bozacak bir DMA kod aktarımının yapılmadığından %100 emin olamaz.

Bu kısa aralık, sofistike bir donanım hilesinin Vanguard uyanmadan gizlice girmesi, kod aktarımı yapması ve saklanması için yeterli.

Çözüm: Birleşik Bir Güncelleme

Bu yılın başında bulgularımızı donanım ortaklarımızla paylaştık ve süreç boyunca çok iyi bir işbirliği sergilediler. Sorunu doğruladılar ve bu açığı kapatmak için kapsamlı BIOS güncellemeleri yayınladılar. 

Siz yine de bizi dinlemekle yetinmeyin. Bakalım büyük donanım imalatçılarının güvenlik raporları ne diyor (Makaleler İngilizcedir.): 

Bu güncellemeler sayesinde güvenlik özelliklerini etkin hale getirdiğinizde bilgisayarınızı çalıştırdığınız ilk andan itibaren faal olacaklar.

Kısıtlandıysam Ne Yapmalıyım?

Vanguard size VAN:Kısıtlama sistemimiz aracılığıyla sistem bütünlüğünün bahsi geçen güvenlik özelliklerinin devre dışı olması dolayısıyla doğrulanamadığı bildirir. Bu VALORANT'ı çalıştırmanızı engeller ve oynamaya devam etmek için neyi etkinleştirmeniz gerektiğini belirten bir kutucuk görüntülenir. Bu kısıtlamalar şüpheli donanım davranışı veya istatistiksel gariplikler tespit edildiğinde hesap ya da HWID düzeyinde uygulanır. Söz konusu gariplikler birçok sebepten meydana gelebilir. Bunların arasında devre dışı bırakılmış güvenlik özellikleri veya bu durumdaki gibi yeni keşfettiğimiz ve IOMMU'yu geçersiz kılan bir başlatma öncesi açığı gibi etkenler yer alabilir. Bu uyarılardan biriyle karşılaşmanız kesin olarak hile yaptığınızdan şüphelendiğimiz anlamına gelmez. Bunun yerine mevcut sistem yapılandırmanızın Vanguard tarafından tespit edilmemek için güvenlik özelliklerini devre dışı bırakan hilecilerin kullandığı yapılandırmalara fazlasıyla benzemesi sebebiyle bu kısıtlamanın uygulandığı anlamına gelir. 

Bu asgari güvenlik standardı hilecileri engellemek için çok önemli. Eğer kısıtlandıysanız oynamaya devam etmeden önce bahsi geçen özellikleri etkinleştirmeniz veya anakart imalatçınızın resmi rehberleri yardımıyla anakart donanım yazılımınızı güncellemeniz gerekmektedir. Kısıtlamalarla ilgili daha fazla bilgiye bu destek sayfasından ulaşabilirsiniz.

Ek olarak zirvedeki rekabet ortamında asgari düzeyde güvenilir bir güvenlik standardı sağlamak amacıyla bu gereksinimleri en üst düzeydeki oyuncular (Yücelik ve üstü) için de getirmeyi düşünüyoruz.

Hedefimiz

BIOS güncellemelerinin, uzaklaştırma verilerine bakmak kadar heyecan verici olmadığının farkındayız ama bu, donanım hilelerine karşı verdiğimiz savaşta önemli bir adım. Bu başlatma öncesi açığı kapatarak önceden dokunulmaz olan bir hile türünün tamamını etkisiz hale getiriyor ve sportmenlik dışı oynamanın bedelini büyük ölçüde arttırıyoruz.

Bu gelişme yalnızca bizim hile koruması sistemimiz için değil, Riot Games'in ötesinde tüm oyun sektörü için de büyük bir başarı anlamına geliyor. Eğer bu sorun fark edilmeseydi şu an piyasada olan tüm DMA tespit ve önleme teknolojisini işe yaramaz hale getirecekti ve bunlara diğer oyun şirketlerinin teknolojileri de dahil. Çünkü bu türden hileler, hile koruması yazılımların genellikle erişimi olmadığı alanlarda faaliyet gösteriyor.

Oyun deneyiminizin kesintiye uğramasını istemiyorsanız imalatçı internet sitelerini ziyaret ederek anakartınızı en güncel sürüme şimdiden güncelleyebilirsiniz. Oyun sektörünün genel güvenlik standardını yükselmek 2021'den beri temel hedeflerimizden biri.Bu katı önlemlerin giderek kabul edildiğini Xbox'ın "Building a Trusted Gaming Future: How Security Powers Fair Play (İngilizce)." makalesi gibi yayınlarda görebiliyoruz. Hile kullanımına karşı verilen savaşta bu temel güvenlik önlemlerinin kullanımı tartışmaya kapalı. Bu güvenlik gelişmelerine öncülük ettiğimiz için gurur duyuyoruz. Ayrıca herkes için adil ve güvenilir olan rekabetçi ortamımızı devam ettirmek konusunda kararlıyız.

Sisteminizi güncel tutmak için gösterdiğiniz çaba bizim için çok değerli. Oyunları herkes için adil ve güvenli hale getirdiğiniz için teşekkür ederiz. Herhangi bir sorununuz varsa Riot Destek Ekibi ile iletişime geçmekten çekinmeyin. Size genel rehberlik sunabilir veya sizi resmi imalatçı kaynaklarına yönlendirebiliriz.