Корейские исследователи обнаружили уязвимость в твердотельных накопителях, которая позволяет вредоносным программам внедряться непосредственно в пустой раздел твердотельного накопителя с избыточным выделением ресурсов. Как сообщает BleepingComputer, это позволяет вредоносному ПО быть практически неуязвимым для мер безопасности.

Избыточное выделение ресурсов - это функция, включенная во все современные твердотельные накопители, которая увеличивает срок службы и производительность встроенного хранилища NAND твердотельного накопителя. 

Пространство выделяемое функцией избыточного выделения должно быть недоступно для операционной системы, но новое вредоносное ПО может проникнуть в него и использовать его в качестве основы для операций.

Корейские исследователи из Корейского университета в Сеуле смоделировали две атаки с использованием избыточного пространства. Первый демонстрирует уязвимость, нацеленную на недопустимые данные (данные, удаленные в ОС, но не очищенные физически) на SSD. Чтобы получить более потенциально конфиденциальные данные, злоумышленник может изменить размер избыточного пула данных, чтобы предоставить операционной системе дополнительное пустое пространство. Поэтому, когда пользователь удаляет больше данных, дополнительные данные остаются на SSD физически нетронутыми.

SSD редко удаляют данные физически, за исключением случаев, когда это абсолютно необходимо для сохранения ресурсов.

Ещё один вариант атаки аналогичен тому, что обсуждалось ранее, он вводит микропрограммное обеспечение непосредственно в пул избыточного выделения ресурсов. В этом примере два SSD подключены как одно устройство, а избыточное выделение ресурсов установлено на 50%. Когда злоумышленник внедряет вредоносное ПО в раздел OP на SSD, он сокращает диапазон OP первого SSD до 25% от общего размера SSD, а затем увеличивает диапазон OP второго SSD до 75%.

Это даёт злоумышленнику место на 2-м SSD для внедрения вредоносного ПО непосредственно в раздел OP, при этом для диапазона OP первого SSD устанавливается значение 25%, из-за чего создается впечатление, что область OP на обоих дисках осталась неизменной. Это связано с тем, что диапазон OP для обоих SSD вместе взятых по-прежнему составляет 50%.

Исследователи предлагают реализовать алгоритм псевдо-стирания, который физически удаляет данные на SSD, не влияя на реальную производительность, чтобы противостоять первой модели атаки.

Планируется внедрить новую систему мониторинга, которая может внимательно отслеживать избыточный размер твердотельных накопителей в режиме реального времени, чтобы противостоять второй модели атаки. Кроме того, доступ к инструментам управления SSD, которые могут изменять избыточные размеры, должен иметь более надежные функции защиты от несанкционированного доступа.

К счастью, эти атаки были созданы исследователями, а не были обнаружены фактической атакой. Однако подобная атака вполне может произойти, поэтому будем надеяться, что производители SSD начнут исправлять эти уязвимости безопасности, прежде чем кто-то получит возможность их использовать.