Уязвимость устройств под управлением Windows 10 к DMA-атакам


MicrosoftКорпорация Microsoft планирует в следующей инсайдерской сборке Windows 10 улучшить защиту от атак с использованием прямого доступа к памяти (DMA), позволяющих злоумышленникам получать ключи шифрования BitLocker и другую конфиденциальную информацию пользователей Windows 8.1 и 10.

Напомним, прямой доступ к памяти обеспечивается через порты в аппаратном обеспечении. Они позволяют внешним компонентам подключаться к основной памяти компьютера без участия центрального процессора. В ходе атак с использованием DMA хакеры получают доступ к памяти через один из портов DMA.

 

Подобные атаки известны еще с 1990-х годов. В Windows 8.1 и 10 компания Microsoft реализовала защиту от таких атак, включив групповые политики, деактивирующие порты DMA во время включения и блокировки компьютера. Однако, если до блокировки через порты были подключены устройства, эти порты оставались открытыми.

Финский исследователь Сами Лайхо (Sami Laiho) отмечает, что вышеупомянутые меры безопасности неэффективны и касаются не всех портов DMA. Защита срабатывает лишь для шин на базе PCI (ExpressCard, Thunderbolt, некоторых док-станций и пр.). Более старые шины (например, 1394 и CardBus) по-прежнему остаются уязвимы. В результате успешной атаки злоумышленник может получить доступ к информации, даже если пользователь активировал защиту портов. В подтверждение своих слов Лайхо продемонстрировал атаку через порт FireWire в прошлом году на конференции Microsoft Ignite.

Microsoft планирует в ближайшее время исправить проблему в инсайдерской сборке Windows 10, а позже и в финальной версии.


Обновлено (03.02.2017 21:51)