Positive Technologies
Новости

Positive Technologies предупреждает об угрозе DaMAgeCard — новом способе DMA-атак через высокоскоростные периферийные устройства

Этот вектор атаки может стать популярным из-за архитектурной особенности новых пользовательских устройств, которые подключаются к компьютеру и имеют прямой доступ к его памяти благодаря механизму DMA (direct memory access)

Команда Positive Labs — эксперты Positive Technologies, исследующие безопасность программно-аппаратных систем и ПО, — обнаружила, что уже известные DMA-атаки получили новую точку входа при наличии физического доступа к целевым устройствам. К возрождению вектора привело появление высокоскоростных карт памяти и ноутбуков, способных считывать информацию с таких накопителей. Новое оборудование поддерживает стандарт SD Express1, который предусматривает сверхвысокую скорость обмена данными, однако предложенное архитектурное решение не имеет должной защиты. Сегодня устройства с поддержкой стандарта SD Express используются в основном в устройствах премиум-сегмента, но их массовое производство может вызвать рост числа атак DaMAgeCard на популярные гаджеты.

С увеличением объема и качества обрабатываемой информации в формате фото и видео значительно выросли требования к скорости периферийного оборудования, предназначенного для загрузки и вывода данных с одного устройства на другое. В ответ на эту тенденцию был создан стандарт SD Express, в рамках которого скорость растет прежде всего за счет подключения карты памяти к высокоскоростной компьютерной шине PCIe, соединяющей внутренние устройства компьютера между собой. В ее основе лежит модель DMA — режим обмена данными, в котором не участвует центральный процессор, информацией управляет периферийное оборудование. Это ускоряет работу, но в то же время создает вектор атаки. 

Сейчас высокопроизводительные ноутбуки выпускают с картридерами, поддерживающими стандарт SD Express. Киберпреступники могут воспользоваться этим и с помощью «злого» устройства, совместимого с интерфейсом целевого оборудования, получить доступ к шине PCIe. Это может привести и к реализации недопустимых для компании событий2, поскольку атакующие получат возможность читать и редактировать данные в памяти устройства, внедрять вредоносный код в программы, извлекать ключи шифрования и пароли, обходить аутентификацию операционной системы и отключать средства защиты. 

Первая версия этой компьютерной шины была создана в 1990-х годах для персональных компьютеров. Физические разъемы тогда находились под крышкой, и злоумышленники были сильно ограничены в инструментах, поэтому DMA-атаки могли совершать только профессиональные APT-группировки. Со временем интерфейс устройств поменялся, появились разные способы подключения к PCle, но защита осталась на том же уровне из-за архитектурных особенностей режима прямого доступа к памяти.

«Сегодня существует, пожалуй, только один метод защиты от DMA-атак — это технология IOMMU, которая управляет доступом к памяти в рамках операций ввода—вывода. Однако с каждым годом появляются новые способы обхода этого механизма. Чтобы защита заработала, нужно продумать модель угроз, правильно реализовать логику управления доступом и внедрить ее во всей производственной цепочке. Это касается в том числе разработчиков прошивок, операционных систем и программных компонентов. Промедление может прив...

Алексей Усанов
Алексей УсановРуководитель направления исследований безопасности аппаратных решений Positive Technologies

Эксперты Positive Technologies полагают, что стандарт SD Express в ближайшие несколько лет укрепится на рынке. Если сейчас технология высокоскоростного обмена данными с помощью карт памяти актуальна скорее для оборудования премиум-класса, то в скором времени у нее есть все шансы проникнуть в иные сегменты компьютеров, видеокамер, смартфонов и других устройств массового пользования. В этом случае у злоумышленников появится удобная точка проникновения в системы без необходимости вскрытия гаджетов.

  1. Стандарт был опубликован в 2018 году, но еще не успел обрести высокую популярность. На рынке только появляются периферийные устройства с поддержкой SD Express.
  2. Последствия кибератак, делающие невозможным достижение операционных и стратегических целей организации или приводящее к значительному нарушению ее основной деятельности.

Может быть интересно: