Аналитики Positive Technologies обнаружили, что уже известные DMA-атаки получили новую точку входа при наличии физического доступа к целевым устройствам. По их словам, такой вектор атаки может набрать популярность из-за архитектурной особенности новых пользовательских устройств, которые подключаются к компьютеру и имеют прямой доступ к его памяти благодаря механизму DMA (direct memory access).
Исследователи пишут, что к возрождению этого вектора атак ведет появление высокоскоростных карт памяти и ноутбуков, способных считывать информацию с таких накопителей. Новое оборудование поддерживает стандарт SD Express, который предусматривает сверхвысокую скорость обмена данными, однако предложенное архитектурное решение не имеет должной защиты.
В настоящее время решения с поддержкой стандарта SD Express применяются в основном в устройствах премиум-сегмента, но их массовое производство может вызвать рост количества атак, которым исследователи дали название DaMAgeCard.
Компания напоминает, что стандарт SD Express был создан в ответ на тенденцию по увеличению объема и качества обрабатываемой информации в формате фото и видео, из-за чего значительно выросли требования к скорости периферийного оборудования, предназначенного для загрузки и вывода данных с одного устройства на другое.
В рамках SD Express скорость растет прежде всего за счет подключения карты памяти к высокоскоростной шине PCIe, соединяющей внутренние устройства ПК между собой. В ее основе лежит модель DMA — режим обмена данными, в котором не участвует центральный процессор, информацией управляет периферийное оборудование. Это ускоряет работу, но также создает вектор для атак.
Сейчас с картридерами, поддерживающими SD Express, выпускают в основном высокопроизводительные ноутбуки. Но эксперты полагают, что в ближайшие годы стандарт SD Express укрепится на рынке.
Если сейчас технология высокоскоростного обмена данными с помощью карт памяти актуальна скорее для оборудования премиум-класса, то в скором времени у нее есть все шансы проникнуть в иные сегменты компьютеров, видеокамер, смартфонов и других устройств массового пользования. В этом случае у злоумышленников появится удобная точка проникновения в системы без необходимости вскрытия гаджетов. Так, хакеры могут воспользоваться этим и с помощью «злого» устройства, совместимого с интерфейсом целевого оборудования, получить доступ к шине PCIe.
Первая версия этой шины была разработана в 1990-х годах для персональных компьютеров. Физические разъемы тогда находились под крышкой, и злоумышленники были сильно ограничены в инструментах, поэтому DMA-атаки могли совершать только профессиональные APT-группировки. Со временем интерфейс устройств поменялся, появились разные способы подключения к PCle, однако защита осталась на том же уровне из-за архитектурных особенностей режима прямого доступа к памяти.
В итоге DMA-атаки могут привести и к реализации недопустимых событий, поскольку атакующие получат возможность читать и редактировать данные в памяти устройства, внедрять вредоносный код в программы, извлекать ключи шифрования и пароли, обходить аутентификацию ОС и отключать защитные решения.
«Сегодня существует, пожалуй, только один метод защиты от DMA-атак — это технология IOMMU, которая управляет доступом к памяти в рамках операций ввода—вывода. Однако с каждым годом появляются новые способы обхода этого механизма. Чтобы защита заработала, нужно продумать модель угроз, правильно реализовать логику управления доступом и внедрить ее во всей производственной цепочке. Это касается в том числе разработчиков прошивок, операционных систем и программных компонентов. Промедление может привести к росту числа атак DaMAgeCard, ведь теперь у злоумышленников есть множество готовых инструментов для реализации недопустимых событий», — комментирует Алексей Усанов, руководитель направления исследований безопасности аппаратных решений Positive Technologies.
