Pesquisadores exibem método de ataques contra o firmware de SSDs
Por Felipe Demartini • Editado por Jones Oliveira |
Pesquisadores da Universidade da Coreia demonstraram um método de ataque contra SSDs capaz de ocultar malware de sistemas de segurança e o tornar invulnerável até mesmo a ações feitas pelo usuário. A exploração acontece em discos com capacidade flex e permite a criação de um espaço inválido no qual a praga se instalaria, gerando persistência e permanecendo inalterado enquanto ativo, exigindo uma análise altamente especializada para que deixe de funcionar.
- SSDs são realmente mais confiáveis que HDs?
- Phishing, apps falsos e vazamentos: quais serão os principais perigos em 2022?
De acordo com o estudo, o problema está na forma como o recurso, desenvolvido pela Micron Technology, aloca o espaço disponível para melhorar o desempenho. Em circunstâncias normais, o sistema ajusta automaticamente tais limites, entre o disponível e o alocado ao usuário, para absorver altas cargas de trabalho. A exploração se aproveita de um buffer chamado over-provisioning (sobreprovisionamento, em tradução livre) para instalar pragas e manter persistência.
O volume, que pode ir de 7% a 25% do espaço total de um disco, se torna invisível ao sistema operacional e outras aplicações, o que significa que plataformas de segurança seriam incapazes de detectar a praga. Enquanto isso, de acordo com os pesquisadores, essa também é uma área de pode receber pouca atenção da tecnologia disponível, com uma análise forense mostrando que a área, em certos modelos de SSD, passou mais de seis meses sem limpeza pelo sistema.
É tempo mais do que suficiente para a implantação de códigos maliciosos e diferentes tipos de exploração criminosa, principalmente quando se leva em conta que, por meio da manipulação do firmware, um atacante pode ampliar esse espaço de acordo com as próprias necessidades. A falta de limpeza também está relacionada à economia e otimização dos recursos do sistema, mas poderia levar à exposição de informações sensíveis e a ataques à infraestrutura, caso a praga seja implantada em servidores, por exemplo.
Brecha em firmware de SSDs pode facilitar controle de dados por terceiros
A prova de conceito da Universidade da Coreia, na capital Seul, foi apresentada a especialistas e também fabricantes, mas por enquanto, não existem indícios de exploração. Os estudiosos apontam que, mais do que ataques cibercriminosos, a vulnerabilidade também poderia ser usada para ocultar informações sensíveis, sem que softwares de monitoramento fossem capazes de detectar o setor comprometido.
Como medidas de mitigação, os especialistas indicam a implementação de sistemas que realizem a limpeza destes setores de tempos em tempos, com algoritmos que indiquem o melhor momento de fazer isso sem interferir no desempenho. Outro método envolve o monitoramento da entrada de dados no SSD, acompanhando essa movimentação em tempo real e com foco nos setores otimizados pelo sistema de forma a detectar atividade criminosa ou acessos sucessivos a setores que deveriam estar inativos. A Micron, por outro lado, ainda não se pronunciou sobre o estudo.
Fonte: Bleeping Computer