Xuất hiện malware lợi dụng SSD để vượt rào bảo mật, trở thành “bất tử”

Thứ Hai 28/08/2023
GVN360

Malware này sẽ cài vào phần over-provisioning của SSD – phần dung lượng mà hệ điều hành thường sẽ không truy cập được.

Các nhà nghiên cứu ở Hàn Quốc đã phát hiện ra một lỗ hổng trong SSD cho phép malware cài trực tiếp vào bên trong phần over-provisioning còn trống của ổ cứng. Việc này cho phép malware trở nên gần như là “bất khả chiến bại” trước những phương án bảo mật.

Over-provisioning là một tính năng được tích hợp trong tất cả SSD ngày nay. Nó giúp tăng tuổi thọ và hiệu năng của chip NAND trong SSD. Cơ bản thì over-provisioning cũng chỉ là phần dung lượng trống mà thôi. Tuy nhiên, nó giúp SSD bảo đảm rằng dữ liệu được dàn đều giữa các cell NAND bằng cách đưa dữ liệu sang phần over-provisioning khi cần thiết.

Theo lý thuyết thì hệ điều hành sẽ không thể truy cập vào phần không gian lưu trữ này được. Thế nên đây sẽ là cơ hội để malware thâm nhập và “đóng đô” ở trong đó luôn.

Các nhà nghiên cứu Hàn Quốc tại Đại học Hàn Quốc ở Seoul đã mô phỏng 2 trường hợp tấn công sử dụng phần dung lượng over-provisioning. Trường hợp đầu tiên là malware sẽ nhắm vào dữ liệu không hợp lệ (dữ liệu đã xóa trong hệ điều hành nhưng thực chất vẫn còn nằm trong ổ cứng) bên trong SSD. Để truy cập được nhiều dữ liệu hơn thì kẻ gian có thể thay đổi dung lượng phần over-provisioning để hệ điều hành có thêm không gian trống. Thế nên khi người dùng xóa thêm dữ liệu thì chúng vẫn sẽ nằm bên trong SSD.

Cách thứ nhì là kẻ gian sẽ cài firmware trực tiếp vào phần over-provisioning. Chẳng hạn như trong trường hợp này, 2 chiếc SSD được kết nối để tạo thành 1 SSD, và phần over-provisioning được thiết lập ở mức 50%. Khi kẻ gian cài malware vào trong phần over-provisioning, nó sẽ giảm mức over-provisioning của SSD đầu tiên còn 25% (so với tổng dung lượng của SSD), sau đó tăng mức over-provisioningcủa SSD thứ nhì lên 75%.

Điều này tạo khoảng hở cho kẻ gian cài malware trực tiếp vào phần over-provisioning trên chiếc SSD thứ nhì, trong khi vẫn khiến cho nạn nhân cảm thấy rằng phần over-provisioning trên 2 chiếc SSD đều vẫn y nguyên (do mức over-provisioning của cả 2 SSD gộp lại đều vẫn là 50%).

Đối với trường hợp đầu tiên, các nhà khoa học gợi ý giải pháp là tạo ra một thuật toán giúp xóa sạch sẽ dữ liệu trên SSD mà không làm ảnh hưởng đến hiệu năng thực tế. Còn đối với trường hợp thứ 2 thì sử dụng hệ thống theo dõi mới để kiểm soát phần over-provisioning trên SSD theo thời gian thực. Thêm vào đó, các công cụ quản lý SSD có quyền điều chỉnh mức over-provisioning cần phải có thêm các tính năng bảo mật an toàn hơn.

Tin vui là những trường hợp này chỉ mới được các nhà khoa học phát hiện thôi chứ chưa ghi nhận ngoài thực tế. Tuy nhiên, vẫn không loại trừ khả năng các trường hợp trên xảy ra ngoài đời thực, cho nên hi vọng là các hãng SSD sẽ sớm tung ra bản cập nhật để vá lỗ hổng này trước khi quá muộn.

Tóm tắt ý chính:

Các nhà nghiên cứu ở Hàn Quốc phát hiện ra một lỗ hổng trong SSD
Nó cho phép malware cài trực tiếp vào bên trong phần over-provisioning còn trống của ổ cứng
Theo lý thuyết thì hệ điều hành sẽ không thể truy cập vào phần không gian lưu trữ over-provisioning
Thế nên malware sẽ trở nên gần như là “bất khả chiến bại” trước những phương án bảo mật
Tin vui là lỗ hổng này chỉ mới được các nhà khoa học phát hiện thôi chứ chưa ghi nhận ngoài thực tế

Mời các bạn tham khảo thêm một số thông tin liên quan tại GEARVN như:

Nguồn: tom’s HARDWARE