Posté le janvier 2, 2022 à 15:25

LE SURPARTITIONNEMENT DES DISQUES DURS PRÉSENTE UNE VULNÉRABILITÉ QUI PEUT ÊTRE UTILISÉE POUR INJECTER DES LOGICIELS MALVEILLANTS

Des chercheurs coréens ont identifié un bug dans les disques durs qui permet de stocker des logiciels malveillants directement dans la partition vide de surapprovisionnement d’un disque dur. En procédant ainsi, le logiciel malveillant peut être très furtif dans ses opérations en évitant la détection du système de sécurité.

Un rapport de Bleeping Computer indique que le mode de fonctionnement du logiciel malveillant lui permet de lancer son attaque en contournant les mesures de sécurité en place.

Surapprovisionnement de SSD

Comme indiqué précédemment, le logiciel malveillant utilise le surapprovisionnement. Il s’agit d’une fonctionnalité présente dans les SSD modernes. Son objectif est d’améliorer la durée de vie et les performances du stockage NAND intégré dans le SSD. En termes simples, l’over-provisioning peut être considéré comme un espace de stockage vide.

Bien que l’over-provisioning soit essentiellement un espace vide, il a une fonction importante car il permet au SSD d’assurer la distribution des données. Ainsi, les données sont réparties entre les cellules NAND en les déplaçant vers l’outil d’over-provisioning lorsque cela est nécessaire.

La fonction d’over-provisioning est, par essence, inaccessible par tout système d’exploitation. Les outils antivirus ne peuvent pas opérer sur cette fonction. Cependant, les chercheurs ont détecté un nouveau logiciel malveillant qui peut contourner cette limitation et utiliser cet espace pour mener des attaques.

Les chercheurs qui ont détecté ce logiciel malveillant étaient basés à l’Université de Corée à Séoul. Les chercheurs ont formulé deux attaques modèles qui exploitent la fonction de surapprovisionnement du SSD.

Lors de la première attaque, les chercheurs ont démontré comment la vulnérabilité peut cibler des données invalides dans le SSD. Les données ont été supprimées du système d’exploitation, mais elles n’ont pas été physiquement effacées.

L’attaquant peut également configurer le type de données qu’il souhaite récupérer lorsqu’il exploite cette vulnérabilité. Pour acquérir des données sensibles et précieuses, l’attaquant peut modifier la taille du pool de données surprovisionné. Cela permet à l’attaquant d’obtenir de l’espace supplémentaire et de l’utiliser sur le système d’exploitation.

L’attaquant fait cela pour s’assurer que si une utilisation supprime plus de données de son système, elles seront toujours physiquement disponibles dans le SSD. L’attaquant peut les récupérer et les utiliser pour lancer des attaques.

Le deuxième type d’attaque qui peut être lancé en utilisant cette vulnérabilité est presque similaire au premier. Cependant, dans ce cas, l’attaquant introduira un logiciel malveillant directement dans l’espace surprovisionné. L’attaquant qui lance cette attaque connectera deux SSDs pour qu’ils fonctionnent comme un seul périphérique, et le surapprovisionnement est fixé à 50%.

Ensuite, l’attaquant introduit le logiciel malveillant dans la partition de surapprovisionnement du SSD. Cela permettra à la plage OP du premier SSD d’atteindre 25% de la taille totale du SSD. En outre, il augmentera la plage OP du deuxième SSD à 75%.

Grâce à cela, l’attaquant disposera d’un espace sur le second SSD pour lancer des logiciels malveillants directement dans la partition surprovisionnée. Cela se produira lorsque l’attaquant réglera la taille du premier SSD à 25%. Cette configuration donnera l’impression que la zone OP des deux pilotes n’est pas affectée malgré l’introduction du logiciel malveillant. Cela est possible car la zone OP des deux SSD restera à 50%.

Les chercheurs donnent des conseils de protection

Les chercheurs impliqués dans cette affaire ont fourni plusieurs techniques que les utilisateurs peuvent envisager pour se protéger de cette attaque de logiciel malveillant. L’une des stratégies recommandées consiste à utiliser un algorithme de pseudo-effacement qui supprimera physiquement les données d’un SSD.

Cette option est utile pour un utilisateur qui veut contrer la première forme d’attaque qui peut être lancée en utilisant l’espace sur-partitionné. L’algorithme de pseudo-effacement supprimera physiquement les données du SSD sans affecter les performances réelles.

Les chercheurs ont également recommandé à l’utilisateur d’utiliser un nouveau système de surveillance. Celui-ci surveillera de près les espaces surprovisionnés du SSD. Une surveillance en temps réel permettra à l’utilisateur de détecter le deuxième type d’attaque et de la contrer avant que l’attaquant n’introduise un logiciel malveillant dans le surpartitionnement.

En outre, les utilisateurs doivent également installer des outils de gestion de SSD. Ces outils veilleront à ce que les tailles surprovisionnées soient régulièrement modifiées. En tant que tels, ils confèrent un niveau de sécurité plus élevé au surpartitionnement et garantissent que les accès non autorisés sont verrouillés.

Il est important de noter que ces attaques ont été modélisées par les chercheurs. Elles n’ont donc pas été découvertes lors d’une attaque par un hacker. Toutefois, cela n’exclut pas que de telles attaques puissent se produire à l’avenir. À cette fin, les fabricants de disques SSD doivent introduire des correctifs qui corrigeront cette vulnérabilité de sécurité avant qu’un hacker ne l’exploite et n’obtienne des données sensibles.