Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità in dischi a stato solido autocifranti

BitLocker  SSD   mercoledì, 7 novembre 2018

SSDRicercatori dell’Università Radboud (Nijmegen, Baesi Bassi) hanno scoperto due vulnerabilità nell’implementazione delle specifiche ATA Security e TCG Opal in dischi a stato solido (SSD) autocifranti che possono consentire ad un attaccante con accesso fisico al dispositivo di decifrare i dati in esso memorizzati senza conoscere la chiave di cifratura o la password di protezione.

La prima vulnerabilità (CVE-2018-12037) deriva dalla mancanza di correlazione crittografica tra la password impostata dall’utente e la chiave utilizzata per la cifratura del disco. Questo può consentire ad un attaccante di accedere alla chiave senza conoscere la password dell’utente e di decifrare il contenuto del disco.

Stando a quanto riportato dai ricercatori, questa falla affligge i seguenti dispositivi:

  • Unità SSD interne Crucial MX100, MX200 e MX300
  • Unità SSD portatili Samsung T3 e T5
  • Unità SSD interne Samsung 840 EVO e 850 EVO (vulnerabili solamente in modalità “ATA high”)

La seconda vulnerabilità (CVE-2018-12038) è legata alla memorizzazione della chiave di cifratura in chip con wear leveling, una tecnica che aiuta a ridurre il prematuro deterioramento delle celle di memoria NAND Flash. Il wear leveling non garantisce che una copia precedente di dati aggiornati venga rimossa completamente. Se i dati aggiornati vengono scritti su un nuovo segmento, versioni precedenti dei dati potrebbero permanere nel segmento precedente per un certo periodo di tempo, fino a quando questo non viene sovrascritto. Ciò significa che se una chiave viene aggiornata con una nuova password, la versione precedente della chiave (non protetta o protetta con una vecchia password) potrebbe rimanere accessibile ad un attaccante senza la necessità di conoscere la password aggiornata.

Questa seconda falla è stata riscontrata nelle unità SSD interne Samsung 840 EVO. Altri prodotti non sono stati verificati dagli autori della ricerca e potrebbero contenere vulnerabilità simili.

I produttori dei dischi vulnerabili hanno rilasciato aggiornamenti del firmware e avvisi di sicurezza per risolvere o mitigare le vulnerabilità sopra descritte. In generale, nel caso in cui non siano disponibili patch specifiche per i propri dispositivi SSD autocifranti, si suggerisce di utilizzare un software di cifratura esterno per la protezione dei dati.

In particolare, se si intende utilizzare la funzionalità BitLocker di Microsoft Windows, è necessario configurarlo per forzare l’uso della cifratura software, in quanto per impostazione predefinita BitLocker sfrutta la cifratura hardware sui dischi che la supportano nativamente.

Per maggiori informazioni su queste vulnerabilità, sui prodotti affetti e sulle soluzioni di mitigazione è possibile consultare le seguenti fonti esterne (in Inglese):