Este ataque permite colocar malware persistente oculto en un SSD
Investigadores coreanos han desarrollado un conjunto de ataques contra algunas unidades de estado sólido (SSD). Los ataques podrían permitir la instalación de malware en una ubicación que está fuera del alcance del usuario y las soluciones de seguridad.
Los modelos de ataque son para unidades con funciones de capacidad flexible y apuntan a un área oculta en el dispositivo llamada sobreaprovisionamiento. Esta es ampliamente utilizada por los fabricantes de SSD actualmente para optimizar el rendimiento en sistemas de almacenamiento basados en flash NAND.
Los ataques a nivel de hardware ofrecen la máxima persistencia y sigilo. En el pasado , ciberdelincuentes sofisticados han trabajado arduamente para implementar tales conceptos contra discos duros, ocultando código malicioso en sectores de disco inalcanzables.
Cómo funciona la capacidad flexible
La capacidad flexible es una característica de los SSDs de Micron Technology. La característica permite que los dispositivos de almacenamiento ajusten automáticamente los tamaños del espacio sin procesar y asignado por el usuario para lograr un mejor rendimiento al absorber los volúmenes de carga de trabajo de escritura.
Es un sistema dinámico que crea y ajusta un búfer de espacio llamado sobreaprovisionamiento. Este generalmente toma entre el 7% y el 25% de la capacidad total del disco.
El área de sobreaprovisionamiento es invisible para el sistema operativo y cualquier aplicación que se ejecute en él. El sobreaprovisionamiento está oculto incluso para las soluciones de seguridad y las herramientas antivirus.
A medida que el usuario inicia diferentes aplicaciones, el administrador de SSD ajusta este espacio automáticamente contra las cargas de trabajo, dependiendo de la intensidad de lectura o escritura que tengan.
Los modelos de ataque
Un ataque modelado por investigadores de la Universidad de Corea en Seúl demuestra el proceso de infección. El ataque tiene como objetivo un área de datos no válida con información no borrada que se encuentra entre el espacio SSD utilizable y el área de sobreaprovisionamiento (OP), y cuyo tamaño depende de los dos.
El artículo de investigación explica que un ciberdelincuente puede cambiar el tamaño del área OP utilizando el administrador de firmware. Es decir, así generaría un espacio de datos inválido explotable.
El problema aquí es que muchos fabricantes de SSD optan por no borrar el área de datos no válidos para ahorrar recursos. Este espacio permanece lleno de datos durante períodos extensos, bajo el supuesto de que romper el enlace de la tabla de mapeo es suficiente para evitar el acceso no autorizado.
Como tal, un ciberdelincuente que aproveche esta vulnerabilidad, podría obtener acceso a información potencialmente sensible.
Los investigadores señalan que la actividad forense en la memoria flash NAND puede revelar datos que no se han eliminado en más de seis meses.
En un segundo modelo de ataque, el área OP se usa como un lugar secreto que los usuarios no pueden monitorear o borrar. Es ahí donde un ciberdelincuente podría esconder malware.
El documento describe este ataque de la siguiente manera:
Se supone que dos dispositivos de almacenamiento SSD1 y SSD2 están conectados a un canal para simplificar la descripción. Cada dispositivo de almacenamiento tiene un 50% de área OP. Después de que el ciberdelincuente almacena el código de malware en SSD2, inmediatamente reduce el área OP de SSD1 al 25% y expande el área OP de SSD2 al 75%.
En este momento, el código de malware está incluido en el área oculta de SSD2. Un ciberdelincuente que obtiene acceso al SSD puede activar el código de malware incorporado en cualquier momento cambiando el tamaño del área OP. Dado que los usuarios normales mantienen el 100% del área de usuario en el canal, no será fácil detectar este comportamiento malicioso de los atacantes.
La ventaja obvia de tal ataque es que es sigiloso. La detección de códigos maliciosos en áreas OP no solo requiere mucho tiempo, sino que también requiere técnicas forenses altamente especializadas.
Contramedidas
Como defensa contra el primer tipo de ataque, lo recomendable es que los fabricantes de SSD borren el área OP con un algoritmo de pseudo-borrado. Este algoritmo no afectaría el rendimiento en tiempo real.
Para el segundo tipo de ataque, una medida de seguridad potencialmente efectiva contra la infección de malware en el área OP es implementar sistemas de monitoreo de velocidad de datos válidos-inválidos. Los sistemas deben monitorear la proporción dentro de los SSDs en tiempo real.
Cuando la proporción de datos no válidos aumenta significativamente de repente, el usuario puede recibir una advertencia y la opción de una función de borrado de datos verificable en el espacio OP.
Finalmente, el acceso a la aplicación de administración de SSD debe tener defensas sólidas contra el acceso no autorizado.
Incluso si no eres un hacker malintencionado, un empleado despistado puede liberar fácilmente información oculta. Es decir, puede filtrarla mediante el uso del firmware/software variable del área OP en cualquier momento”.
Investigadores.
Hasta el cierre de este artículo, Micron no ha emitido ningún comentario sobre lo expuesto por los investigadores.
La investigación demuestra que el área OP en los SSDs de Micron se puede usar para almacenar malware. Sin embargo, es poco probable que tales ataques estén ocurriendo en el entorno en este momento.