mercredi, novembre 27, 2024

Un nouveau logiciel malveillant utilise le surprovisionnement SSD pour contourner les mesures de sécurité

Des chercheurs coréens ont détecté une vulnérabilité dans les SSD qui permet aux logiciels malveillants de s’implanter directement dans la partition de sur-provisionnement vide d’un SSD. Tel que rapporté par BleepingComputer, cela permet au malware d’être presque invincible aux contre-mesures de sécurité.

Le sur-approvisionnement est une fonctionnalité incluse dans tous les SSD modernes qui améliore la durée de vie et les performances du stockage NAND intégré du SSD. Surapprovisionnement dans un espace de stockage essentiellement vide. Mais cela donne au SSD une chance de s’assurer que les données sont réparties uniformément entre toutes les cellules NAND en mélangeant les données vers le pool de surprovisionnement en cas de besoin.

Alors que cet espace est censé être inaccessible par le système d’exploitation — et donc les outils antivirus — ce nouveau malware peut s’y infiltrer et l’utiliser comme base d’opérations.

(Crédit image : BleepingComputer)

Des chercheurs coréens de l’Université de Corée à Séoul ont modélisé deux attaques qui utilisent l’espace surapprovisionné. Le premier démontre une vulnérabilité qui cible les données invalides (données supprimées dans le système d’exploitation mais pas physiquement effacées) dans le SSD. Pour obtenir davantage de données potentiellement sensibles, l’attaquant peut choisir de modifier la taille du pool de données surprovisionné afin de fournir un espace vide supplémentaire au système d’exploitation. Ainsi, lorsqu’un utilisateur supprime plus de données, les données supplémentaires restent physiquement intactes dans le SSD.

Les disques SSD suppriment rarement physiquement les données, sauf si cela est absolument nécessaire, pour préserver les ressources.

SSD Over Provisioning Attaque de logiciel malveillant

(Crédit image : BleepingComputer)

Le second est similaire à ce qui a été discuté précédemment, en injectant le micrologiciel directement dans le pool de surprovisionnement. Dans cet exemple, deux SSD sont connectés comme un seul appareil et le surprovisionnement est défini sur 50 %. Lorsqu’un attaquant injecte un malware dans la partition OP du SSD, il réduit la plage OP du premier SSD à 25 % de la taille totale du SSD, puis augmente la plage OP du deuxième SSD à 75 %.

Source-138

- Advertisement -

Latest