Несколько дней назад на Хабре публиковалась статья об исследовании ученых из университета Радбоуд, которые нашли уязвимость в системе шифрования данных некоторыми моделями SSD с аппаратной защитой. Так, используя специальные методы можно получить доступ к защищенным данным, причем пароль знать вовсе необязательно.
Для ОС Windows проблема оказалась наиболее актуальной, поскольку встроенная система шифрования Windows Bitlocker отключается, если ОС определяет SSD как имеющий аппаратную защиту. Фактически, пользователи, которые работают с SSD Сrucial и Samsung и не обновили прошивку своих накопителей, держат свои данные открытыми для злоумышленников. На днях корпорация Microsoft опубликовала информацию о методах защиты данных на SSD с аппаратной защитой в среде Windows.
Компания опубликовала статью, в которой рассказывается о том, что 1394 и Thunderbolt системы имеют активированную функцию Direct Memory Access (DMA). Ее необходимо выключать отдельно, по умолчанию она включена. Если защищенное системой BlitLocker устройство разлочено, ключ шифрования хранится в памяти компьютера. При желании злоумышленники могут подключить к уязвимому ПК специальным образом сконструированный девайс 1394 или Thubderbolt для поиска и кражи ключа шифрования.
Microsoft описывает несколько способов защиты от атак такого типа. Например, использовать функцию Kernel DMA Protection, доступную в Windows 10 1803. Для пользователей, у кого эта функция недоступна, Microsoft предлагает иные методы: «Для Windows 10 1803 и последующих версий, в случае поддержки системой функции Kernel DMA Protection, мы рекомендуем использовать эту возможность для снижения вероятности успешной атаки при помощи Thunderbolt DMA».
Эта функция блокирует подключенные устройства Thunderbolt 3 и не дает им доступа к функции Direct Memory Access до момента, пока не будут выполнен определенный набор процедур.
Когда Thunderbolt 3 устройство подключено к системе с активированной функцией Kernel DMA Protection, Windows проверит системные диски на предмет поддержки DMA-ремаппинга. Это функция, которая позволяет определенному участку изолированной памяти работать с устройство, использующимся для работы с операционной системой. Это позволяет избежать вторжения DMA-гаджетов в любые иные области памяти, крое заранее договоренных.
Если устройство поддерживает изоляцию памяти, Windows тут же даст команду устройству запустить DMA в изолированных участках памяти. Для устройств, чьи драйверы не поддерживают изоляцию памяти, доступ будет закрыть до тех пор, пока пользователь не войдет в систему или не разлочит экран.
Для тех же гаджетов, которые вообще не имеют поддержки DMA-ремапа, доступ к системе будет закрыт до тех пор, пока пользователь не залогинится или не разблокирует дисплей. Как только это сделано, Windows запустит специализированный драйвер и позволит гаджету активировать функцию DMA-доступа.
Kernel DMA Protection пока доступна для Windows 10 Build 1803, правда, необходима новое firmware для UEFI. Пользователи Windows могут узнать об этом методе защиты здесь. Если компьютер не поддерживает Kernel DMA Protection или же на нем установлена не самая новая версия Windows, корпорация Microsoft рекомендует деактивировать драйвер SBP-2 1394, а также отключить контроллеры thunderbolt в Windows
Стоит понимать, что если вы не работаете с устройствами Thunderbolt или 1394, то отключение контроллеров не даст ровно никакого эффекта. С другой стороны, те пользователи, у кого есть упомянутые выше типы устройств, могут, воспользовавшись советом компании, закрыть возможность осуществления такой атаки.
В Microsoft также заявляют о том, что если железо не соответствует Windows Engineering Guidance, то в нем, скорее всего выключены функции DMA и 1943 от Thunderolt. А это означает, что пиратские системы начинают работать сразу же при подключении к ПК.
«Если ваше аппаратное обеспечение отличается от рекомендаций Windows Engineering Guidance, после включения ПК Windows может активировать DMA на таком устройстве. А это делает систему уязвимой для компрометации», — говорится в сообщении представителей Microsoft. Для того, чтобы отключить соответствующие контроллеры, необходимы точные ID устройства (речь идет о Plug and Play системе).
