Корейские исследователи разработали набор атак против некоторых твердотельных накопителей (SSD), которые могут позволить размещать вредоносное ПО в местах, недоступных для пользователей и решений безопасности.
Модели атаки предназначены для дисков с функциями гибкой емкости и нацелены на скрытую область на устройстве, называемую избыточным выделением ресурсов, которая в наши дни широко используется производителями твердотельных накопителей для оптимизации производительности в системах хранения на основе флэш-памяти NAND.
Атаки на аппаратном уровне обеспечивают максимальную настойчивость и скрытность. Сложные актеры работали трудно реализовать такие концепции в отношении жестких дисков в прошлом, скрывая вредоносный код в недоступных секторах диска.
Как работает гибкая емкость
Гибкая емкость — это функция твердотельных накопителей от Micron Technology, которая позволяет устройствам хранения автоматически регулировать размеры необработанного и выделенного пользователем пространства для достижения лучшей производительности за счет поглощения томов рабочей нагрузки записи.
Это динамическая система, которая создает и регулирует буфер пространства, называемый избыточным выделением ресурсов, обычно занимающий от 7% до 25% от общей емкости диска.
Область избыточного выделения ресурсов невидима для операционной системы и любых приложений, работающих в ней, включая решения безопасности и антивирусные инструменты.
Когда пользователь запускает различные приложения, диспетчер SSD автоматически регулирует это пространство в соответствии с рабочими нагрузками, в зависимости от того, насколько интенсивно они пишут или читают.
Модели атаки
Одна из атак, смоделированная исследователями из Корейского университета в Сеуле, нацелена на недопустимую область данных с нестертой информацией, которая находится между используемым пространством SSD и областью избыточного выделения ресурсов (OP), и размер которой зависит от них обоих.
В исследовательском документе объясняется, что хакер может изменить размер области OP с помощью диспетчера микропрограмм, создавая таким образом доступное для использования недопустимое пространство данных.
Проблема здесь в том, что многие производители SSD предпочитают не стирать недействительную область данных, чтобы сэкономить ресурсы. Это пространство остается заполненным данными в течение значительных периодов времени, при условии, что разрыва связи таблицы сопоставления достаточно для предотвращения несанкционированного доступа.
Таким образом, злоумышленник, использующий эту уязвимость, может получить доступ к потенциально конфиденциальной информации.
В Исследователи отмечают, что судебная деятельность на флэш — памяти NAND может выявить данные, которые не были удалены в течение шести месяцев.
Во второй модели атаки область OP используется как секретное место, которое пользователи не могут отслеживать или стирать, где злоумышленник может скрыть вредоносное ПО.
В документе эта атака описывается следующим образом:
Предполагается, что два запоминающих устройства SSD1 и SSD2 подключены к каналу для упрощения описания. Каждое устройство хранения имеет 50% OP области. После того, как хакеры сохранят вредоносный код на SSD2, они сразу же уменьшают OP-область SSD1 до 25% и расширяют OP-область SSD2 до 75%.
В настоящее время вредоносный код находится в скрытой области SSD2. Хакер, получивший доступ к SSD, может активировать встроенный вредоносный код в любое время, изменив размер области OP. Поскольку нормальные пользователи сохраняют 100% пользовательской площади на канале, обнаружить такое злонамеренное поведение хакеров будет непросто.
Очевидное преимущество такой атаки в том, что она незаметна. Обнаружение вредоносного кода в областях OP требует не только времени, но и использования высокоспециализированных методов криминалистической экспертизы.
Контрмеры
В качестве защиты от атак первого типа исследователи предлагают производителям SSD стереть область OP с помощью алгоритма псевдо-стирания, который не повлияет на производительность в реальном времени.
Для второго типа атаки потенциально эффективной мерой защиты от внедрения вредоносного ПО в OP-область является внедрение систем мониторинга скорости передачи данных с действительными недействительными данными, которые отслеживают соотношение внутри SSD-накопителей в режиме реального времени.
Когда соотношение недопустимых данных резко возрастает, пользователь может получить предупреждение и опцию проверяемой функции очистки данных в пространстве OP.
Наконец, доступ к приложению для управления твердотельными накопителями должен иметь надежную защиту от несанкционированного доступа.
«Даже если вы не злонамеренный хакер, введенный в заблуждение сотрудник может легко освободить скрытую информацию и передать ее, используя микропрограммное обеспечение / программное обеспечение переменной OP в любое время», — поясняют исследователи.
Bleeping Computer обратился к Micron с просьбой прокомментировать вышеизложенное, и мы обновим эту историю, когда получим ответ.
Хотя исследование показывает, что OP-область на твердотельных накопителях Micron может использоваться для хранения вредоносных программ, маловероятно, что такие атаки происходят прямо сейчас.
Последнее обновление 05.01.2023
