Des chercheurs coréens ont développé un ensemble d’attaques contre certains disques à semi-conducteurs (SSD) qui pourraient permettre de planter des logiciels malveillants dans un endroit hors de portée de l’utilisateur et des solutions de sécurité.
Les modèles d’attaque sont destinés aux disques avec des fonctionnalités de capacité flexible et ciblent une zone cachée sur l’appareil appelée surprovisionnement, qui est largement utilisée par les fabricants de SSD de nos jours pour l’optimisation des performances sur les systèmes de stockage flash NAND.
Les attaques au niveau matériel offrent une persistance et une furtivité ultimes. Des acteurs sophistiqués ont travaillé dur pour mettre en œuvre de tels concepts contre les disques durs dans le passé, cachant le code malveillant dans les secteurs de disque inaccessibles.
Comment fonctionne la capacité flexible
La capacité flexible est une fonctionnalité des SSD de Micron Technology qui permet aux périphériques de stockage de ajuster automatiquement les tailles de l’espace brut et alloué par l’utilisateur pour obtenir de meilleures performances en absorbant les volumes de charge de travail en écriture.
Il s’agit d’un système dynamique qui crée et ajuste une mémoire tampon d’espace appelée surprovisionnement, prenant généralement entre 7 % et 25 % de la capacité totale du disque.
La zone de sur-provisionnement est invisible pour le système d’exploitation et toutes les applications qui y sont exécutées, y compris les solutions de sécurité et les outils antivirus.
Au fur et à mesure que l’utilisateur lance différentes applications, le gestionnaire SSD ajuste automatiquement cet espace aux charges de travail, en fonction de leur intensité d’écriture ou de lecture.
Les modèles d’attaque
Une attaque modélisée par des chercheurs de l’Université de Corée à Séoul cible une zone de données invalide avec des informations non effacées qui se situe entre l’espace SSD utilisable et la zone de surprovisionnement (OP), et dont la taille dépend des deux.
Le document de recherche explique qu’un pirate informatique peut modifier la taille de la zone OP en utilisant le gestionnaire de firmware, générant ainsi un espace de données invalide exploitable.
Le problème ici est que de nombreux fabricants de SSD choisissent de ne pas effacer la zone de données invalide pour économiser des ressources. Cet espace reste rempli de données pendant de longues périodes, en supposant que rompre le lien de la table de mappage est suffisant pour empêcher tout accès non autorisé.
En tant que tel, un acteur de la menace tirant parti de cette faiblesse pourrait accéder à des informations potentiellement sensibles.
Source : Arxiv.org
le les chercheurs notent que l’activité médico-légale sur la mémoire flash NAND peut révéler des données qui n’ont pas été supprimées depuis plus de six mois.
Dans un deuxième modèle d’attaque, la zone OP est utilisée comme un endroit secret que les utilisateurs ne peuvent pas surveiller ou effacer, où un acteur malveillant pourrait cacher des logiciels malveillants.
Source : Arxiv.org
Le document décrit cette attaque comme suit :
On suppose que deux dispositifs de stockage SSD1 et SSD2 sont connectés à un canal afin de simplifier la description. Chaque périphérique de stockage a 50% de zone OP. Une fois que le pirate a stocké le code malveillant dans SSD2, il réduit immédiatement la zone OP de SSD1 à 25 % et étend la zone OP de SSD2 à 75 %.
À ce stade, le code malveillant est inclus dans la zone cachée de SSD2. Un pirate informatique qui accède au SSD peut activer le code malveillant intégré à tout moment en redimensionnant la zone OP. Étant donné que les utilisateurs normaux maintiennent une zone utilisateur à 100% sur le canal, il ne sera pas facile de détecter un tel comportement malveillant des pirates.
L’avantage évident d’une telle attaque est qu’elle est furtive. La détection de code malveillant dans les zones OP prend non seulement du temps, mais nécessite également des techniques médico-légales hautement spécialisées.
Contre-mesures
Pour se défendre contre le premier type d’attaque, les chercheurs proposent aux fabricants de SSD d’effacer la zone OP avec un algorithme de pseudo-effacement qui n’affecterait pas les performances en temps réel.
Pour le deuxième type d’attaque, une mesure de sécurité potentiellement efficace contre l’injection de logiciels malveillants dans la zone OP consiste à mettre en œuvre des systèmes de surveillance du débit de données valides-invalides qui surveillent le ratio à l’intérieur des SSD en temps réel.
Lorsque le taux de données invalides augmente de manière significative tout d’un coup, l’utilisateur peut recevoir un avertissement et l’option d’une fonction d’effacement des données vérifiable dans l’espace OP.
Enfin, l’accès à l’application de gestion SSD doit disposer de solides défenses contre les accès non autorisés.
« Même si vous n’êtes pas un pirate informatique malveillant, un employé malavisé peut facilement libérer des informations cachées et les divulguer à tout moment en utilisant le micrologiciel/logiciel variable de la zone OP » – expliquent les chercheurs.
EZpublish-france.fr a contacté Micron pour lui demander un commentaire sur ce qui précède, et nous mettrons à jour cette histoire lorsque nous recevrons une réponse.
Bien que la recherche démontre que la zone OP sur les SSD Micron peut être utilisée pour stocker des logiciels malveillants, il est peu probable que de telles attaques se déroulent actuellement dans la nature.