Nuevas formas de ocultar malware dentro de unidades SSD

Investigadores coreanos han desarrollado un nuevo conjunto de ataques contra las unidades SSD. Estos ataques permiten el despliegue de malware en lugares que están fuera del alcance de las soluciones de seguridad y de los usuarios. Los ataques apuntan a unidades con características de capacidad flexible y áreas ocultas en el dispositivo llamadas áreas de […]

Investigadores coreanos han desarrollado un nuevo conjunto de ataques contra las unidades SSD. Estos ataques permiten el despliegue de malware en lugares que están fuera del alcance de las soluciones de seguridad y de los usuarios.

Los ataques apuntan a unidades con características de capacidad flexible y áreas ocultas en el dispositivo llamadas áreas de aprovisionamiento excesivo utilizadas por los fabricantes de SSD para optimizar el rendimiento en sistemas de almacenamiento basados ​​en flash NAND.

El primer ataque

Uno de los ataques tiene como objetivo un área de datos no válidos utilizando información disponible entre el área de sobreaprovisionamiento (OP) y el espacio SSD utilizable, cuyo tamaño se basa en los dos.

Un atacante puede realizar cambios en el tamaño del área OP con el administrador de firmware para crear un espacio de datos no válido explotable.

El problema es que la mayoría de los fabricantes de SSD no borran el área de datos no válidos para ahorrar recursos y asumen que romper el enlace de la tabla de mapeo puede detener el acceso no autorizado.

Por lo tanto, un atacante puede usar este problema para obtener acceso a información confidencial. Además, la memoria flash NAND puede revelar datos que no se han eliminado durante seis meses.

El segundo ataque

En el segundo tipo de ataque, el área OP se usa como un lugar secreto para ocultar malware que un usuario puede borrar o monitorear.
Se supone que dos dispositivos de almacenamiento SSD1/SSD2 están conectados a un canal.

Ambos dispositivos tienen un área OP del 50 %, y después de que un atacante oculta un código de malware en SSD2, pueden limitar rápidamente el área OP de SSD1 al 25 % y aumentar el área OP de SSD2 al 75 %.

Al mismo tiempo, el código de malware se almacena dentro de un área oculta de SSD2 que se puede activar en cualquier momento cambiando el tamaño del área OP. Además, usar un área del 100 % hace que sea más difícil de detectar.

¿Cuáles son las funciones de capacidad flexible?

La capacidad flexible es una característica de los SSD que permite que los dispositivos de almacenamiento ajusten automáticamente los tamaños del espacio sin procesar y asignado por el usuario para obtener un mejor rendimiento mediante el uso de los volúmenes de carga de trabajo de escritura.