Des chercheurs coréens ont détecté une vulnérabilité dans les SSD qui permet aux logiciels malveillants de s’implanter directement dans la partition de sur-provisionnement vide d’un SSD. Tel que rapporté par BleepingComputer, cela permet au malware d’être presque invincible aux contre-mesures de sécurité.
Le sur-approvisionnement est une fonctionnalité incluse dans tous les SSD modernes qui améliore la durée de vie et les performances du stockage NAND intégré du SSD. Surapprovisionnement dans un espace de stockage essentiellement vide. Mais cela donne au SSD une chance de s’assurer que les données sont réparties uniformément entre toutes les cellules NAND en mélangeant les données vers le pool de surprovisionnement en cas de besoin.
Alors que cet espace est censé être inaccessible par le système d’exploitation — et donc les outils antivirus — ce nouveau malware peut s’y infiltrer et l’utiliser comme base d’opérations.
Des chercheurs coréens de l’Université de Corée à Séoul ont modélisé deux attaques qui utilisent l’espace surapprovisionné. Le premier démontre une vulnérabilité qui cible les données invalides (données supprimées dans le système d’exploitation mais pas physiquement effacées) dans le SSD. Pour obtenir davantage de données potentiellement sensibles, l’attaquant peut choisir de modifier la taille du pool de données surprovisionné afin de fournir un espace vide supplémentaire au système d’exploitation. Ainsi, lorsqu’un utilisateur supprime plus de données, les données supplémentaires restent physiquement intactes dans le SSD.
Les disques SSD suppriment rarement physiquement les données, sauf si cela est absolument nécessaire, pour préserver les ressources.
Le second est similaire à ce qui a été discuté précédemment, en injectant le micrologiciel directement dans le pool de surprovisionnement. Dans cet exemple, deux SSD sont connectés comme un seul appareil et le surprovisionnement est défini sur 50 %. Lorsqu’un attaquant injecte un malware dans la partition OP du SSD, il réduit la plage OP du premier SSD à 25 % de la taille totale du SSD, puis augmente la plage OP du deuxième SSD à 75 %.
Cela donne à l’attaquant de la place sur le 2e SSD pour injecter des logiciels malveillants directement dans la partition OP tout en définissant la plage OP du premier SSD sur 25%, ce qui donne l’impression que la zone OP sur les deux disques n’est pas affectée. En effet, la plage OP pour les deux SSD combinés est toujours de 50%.
Les chercheurs suggèrent de mettre en œuvre un algorithme de pseudo-effacement qui supprime physiquement les données sur un SSD sans affecter les performances du monde réel pour contrer le premier modèle d’attaque.
Il est recommandé de mettre en œuvre un nouveau système de surveillance capable de surveiller de près la taille surprovisionnée des SSD en temps réel pour contrer le deuxième modèle d’attaque. De plus, l’accès aux outils de gestion SSD qui peuvent modifier les tailles surprovisionnées devrait avoir des fonctionnalités de sécurité plus robustes contre les accès non autorisés.
Heureusement, ces attaques ont été créées par des chercheurs et n’ont pas été découvertes par une attaque réelle. Cependant, une attaque comme celle-ci pourrait très bien se produire, donc j’espère que les fabricants de SSD commenceront à corriger rapidement ces vulnérabilités de sécurité avant que quelqu’un n’ait la possibilité de les exploiter.