Этот вектор атаки может стать популярным из-за архитектурной особенности новых пользовательских устройств, которые подключаются к компьютеру и имеют прямой доступ к его памяти благодаря механизму DMA (direct memory access)
Команда Positive Labs — эксперты Positive Technologies, исследующие безопасность программно-аппаратных систем и ПО, — обнаружила, что уже известные DMA-атаки получили новую точку входа при наличии физического доступа к целевым устройствам. К возрождению вектора привело появление высокоскоростных карт памяти и ноутбуков, способных считывать информацию с таких накопителей. Новое оборудование поддерживает стандарт SD Express1, который предусматривает сверхвысокую скорость обмена данными, однако предложенное архитектурное решение не имеет должной защиты. Сегодня устройства с поддержкой стандарта SD Express используются в основном в устройствах премиум-сегмента, но их массовое производство может вызвать рост числа атак DaMAgeCard на популярные гаджеты.
С увеличением объема и качества обрабатываемой информации в формате фото и видео значительно выросли требования к скорости периферийного оборудования, предназначенного для загрузки и вывода данных с одного устройства на другое. В ответ на эту тенденцию был создан стандарт SD Express, в рамках которого скорость растет прежде всего за счет подключения карты памяти к высокоскоростной компьютерной шине PCIe, соединяющей внутренние устройства компьютера между собой. В ее основе лежит модель DMA — режим обмена данными, в котором не участвует центральный процессор, информацией управляет периферийное оборудование. Это ускоряет работу, но в то же время создает вектор атаки.
Сейчас высокопроизводительные ноутбуки выпускают с картридерами, поддерживающими стандарт SD Express. Киберпреступники могут воспользоваться этим и с помощью «злого» устройства, совместимого с интерфейсом целевого оборудования, получить доступ к шине PCIe. Это может привести и к реализации недопустимых для компании событий2, поскольку атакующие получат возможность читать и редактировать данные в памяти устройства, внедрять вредоносный код в программы, извлекать ключи шифрования и пароли, обходить аутентификацию операционной системы и отключать средства защиты.
Первая версия этой компьютерной шины была создана в 1990-х годах для персональных компьютеров. Физические разъемы тогда находились под крышкой, и злоумышленники были сильно ограничены в инструментах, поэтому DMA-атаки могли совершать только профессиональные APT-группировки. Со временем интерфейс устройств поменялся, появились разные способы подключения к PCle, но защита осталась на том же уровне из-за архитектурных особенностей режима прямого доступа к памяти.
