что такое защита dma ядра
Как включить защиту целостности памяти в Windows 10 April 2018 Update
В Windows 10 (версия 1803) Центр безопасности Защитника Windows получил несколько улучшений, в том числе новый раздел “Безопасность устройства”, которые предлагает управление расширенными инструментами безопасности, такими как «Изоляция ядра».
Рассмотрим, как включить функцию “Целостность памяти” в Windows 10 April 2018 Update, чтобы усилить безопасность компьютера.
Включение целостности памяти
После выполнения этих действий нужно перезагрузить компьютер, чтобы изменения вступили в силу.
Примечание: для работы данной функции ваш процессор должен поддерживать технологии виртуализации. Кроме того, виртуализация должна быть включена в BIOS или UEFI. В противном случае, функция будет недоступна.
Исправление проблем с изоляцией ядра
В некоторых случаях можно столкнуться с проблемами совместимости в некоторых приложениях, если изоляция ядра включена. Чтобы исправить неполадки придется отключить функцию.
Если вы пытаетесь отключить целостность памяти в Центре безопасности Защитника Windows, но опция стала неактивной и показывается сообщение “Этим параметром управляет ваш администратор”, то все еще можно деактивировать функцию с помощью системного реестра.
Примечание: Некорректное изменение реестра может привести к серьезным проблемам. Рекомендуется создать резервную копию реестра Windows перед тем, как выполнить данные шаги. В меню редактора реестра выберите Файл > Экспорт для сохранения резервной копии.
Для отключения вы также можете воспользоваться готовым reg-файлом, выполнив запуск от имени администратора.
После выполнения этих действий нужно перезагрузить компьютер, чтобы изменения вступили в силу.
Опасная периферия: разбираемся в Thunderspy
Год от года мы наблюдаем технический прогресс: мощность компьютеров растет, скорости передачи данных увеличиваются, появляются новые стандарты… Но, как говорилось в одном известном фильме, с великой силой приходит великая ответственность! Что мы получаем (помимо большой скорости) от новых стандартов и интерфейсов? Какие угрозы таят в себе Thunderbolt и USB4? Так ли опасен Thunderspy, как его описывают? Давайте разберемся!
Периферия: начало
В своей самой «минимальной» комплектации компьютер состоит всего из двух частей: процессора и оперативной памяти. В оперативной памяти находится программный код, исполняемый процессором, и данные, с которыми он работает. Но сам по себе такой компьютер бесполезен: несмотря на то, что он сам себе что-то там считает, мы ни «сказать» ему ничего не можем, ни результатов получить. И вот здесь требуется периферия:
Предок современного ПК, процессор Intel 8086, имел общие шины адреса и данных для обращения как к памяти, так и ко внешним устройствам ввода-вывода (Input/Output, I/O). Если требовался доступ к I/O, процессор сообщал об этом сигналом на специальном выводе «IO/M», после чего выполнял чтение или запись в нужный порт. Выглядело это как дополнительное адресное пространство с адресами от 0x0000 до 0xFFFF:
Механизм I/O-портов дошел до наших дней и до сих пор используется в архитектуре x86 и x86-64. Как и ранее, для доступа к I/O-портам процессор исполняет специальную команду in или out:
Через взаимодействие с I/O-портами компьютер взаимодействует с такими устройствами, как:
Периферия: DMA
Проблемы начинаются, когда требуется передать какой-либо значительный объем данных: для общения с I/O-портами процессор должен исполнять инструкции ввода-вывода, причем за один вызов команды in можно получить максимум 32 бита данных. В результате мы полностью занимаем процессор банальной пересылкой байтов от внешнего устройства. Так не годится!
Для облегчения жизни процессора внешним устройствам разрешили напрямую работать с памятью (Direct Memory Access, DMA). Теперь процесс передачи данных возложен на само устройство, процессор может заниматься своими делами, пока контроллер в фоне копирует байты:
Такими периферийными устройствами с возможностью доступа к памяти компьютера являются различные контроллеры интерфейсов, где требуется быстро передавать много данных (USB, SATA, NVMe, Wi-Fi):
DMA-атаки
Но там, где мы выигрываем в скорости, мы проигрываем в безопасности. В памяти, куда такое устройство имеет доступ, хранится программный код системы, персональные данные пользователя и много чего другого. Подключив к системе специальным образом подготовленное устройство, можно обойти пароль системы и украсть данные – такой функционал, к примеру, предлагает PCI Leech:
До недавнего времени DMA-атаки было достаточно сложно реализовать. Системные шины PCI и PCI Express, которые поддерживают механизм DMA, находились внутри компьютера, и для подключения к ним нужно было как минимум разобрать устройство. Единственным внешним интерфейсом с поддержкой DMA-транзакций был IEEE 1394 (FireWire), но его сейчас днем с огнем не сыщешь:
Thunderbolt
А затем появился Thunderbolt. По сути Thunderbolt-контроллер является чересчур умным коммутатором PCI Express: он туннелирует транзакции PCI Express между компьютером и внешними устройствами и управляет подключением этих самых устройств.
Наконец-то стало возможным подключить к компьютеру внешнюю видеокарту:
…и вообще любое другое устройство PCI Express:
Но подождите, теперь можно подойти к компьютеру, подключиться Thunderbolt-кабелем, взломать систему и украсть данные! И все это не вскрывая корпуса.
Разработчики тоже так подумали и добавили в Thunderbolt примочки для защиты от таких ситуаций. По умолчанию контроллер не подключает новые устройства к компьютеру, все решает системный драйвер. В зависимости от режима работы, выставленного в BIOS, драйвер может:
Сейчас в подавляющем большинстве систем по умолчанию используется режим User Authorization (SL1), когда при подключении незнакомого устройства в Windows появляется окно и требует подтверждения:
Только после того как контроллер получил подтверждение от драйвера, устройство окончательно подключается к системе и получает доступ к памяти.
I/O MMU
Каждый раз подтверждать устройство, кликать в окошки – неужели нет адекватного и безопасного решения в формате «подключил – заработало»? Именно таким путем пошла компания Apple, выключив защиту Thunderbolt. Все Thunderbolt-устройства на MacBook и iMac сразу и без вопросов подключаются к системе, даже на этапе загрузки.
Безопасность обеспечивается технологией I/O MMU (Input/Output Memory Management Unit), которую поддерживают все современные процессоры.
С помощью этой технологии виртуальные машины могут обращаться к реальному железу, а операционная система – защищаться от DMA-атак. Если раньше устройство на шине PCI Express напрямик обращалось к физической памяти, то при включении I/O MMU становится возможным «фильтровать» запросы и пускать устройство только к тем областям ОЗУ, которые ему выделили. На деле I/O MMU является дополнительным уровнем адресной трансляции между устройствами и реальной физической памятью.
Вслед за Apple Microsoft также применила эту технологию. Теперь в ноутбуках выпуска 2019 года и новее есть «Защита DMA ядра», которая активируется только для подключенных Thunderbolt-устройств и только если ноутбук поддерживает эту функцию на уровне BIOS.
Thunderspy – по пунктам!
Недавно был опубликован релиз, включающий несколько уязвимостей технологии Thunderbolt под общим названием Thunderspy. В конечном итоге всем рекомендуется выключить Thunderbolt из-за больших проблем в его безопасности. Но не спешите торопиться, давайте рассмотрим уязвимости подробнее.
1. Отсутствие проверки целостности прошивки
Образ флеш-памяти контроллера Thunderbolt 3 содержит помимо собственной прошивки еще и конфигурацию, а также прошивку контроллера USB Type C Power Delivery (PD):
Авторы обнаружили, что конфигурация никак не защищена и может быть перезаписана программатором! Это означает, что режим защиты Thunderbolt можно понизить до уровня No Security, в результате чего драйвер операционной системы подключит любое устройство без лишних вопросов.
В публикации упоминается модификация прошивки контроллера и даже прилагается утилита Thunderbolt Controller Firmware Patcher, но она выполняет изменение только области конфигурации. Достоверных сведений о возможности модификации самой прошивки в публикации не имеется.
Да, возможность разобрать ПК и отключить защиту программатором имеется. Но с другой стороны – если компьютер попал в руки злоумышленникам, то они могут и к PCI Express подключиться, и жесткий диск вытащить.
2. Слабая аутентификация устройств
Авторы с помощью программатора «клонируют» ранее запомненное в системе устройство, после чего система принимает его как родное. В режиме Secure Connect помимо идентификатора UUID дополнительно приходится копировать данные аутентификации SL2 из самого устройства (и снова программатором).
Такой способ работает, но только для старых Thunderbolt-устройств и контроллеров. Во всех контроллерах Thunderbolt 3 UUID зашит в сам чип и его нельзя изменить. А еще в актуальных версиях прошивки Thunderbolt 3 используется 128-битный UUID:
И если для 64-битного UUID можно взять устройство поколения Thunderbolt 2 и прописать нужный UUID в DROM, то 128-битный идентификатор так клонировать не получится: формат DROM идентификаторы такой длины не поддерживает.
3. Метаданные устройства можно изменять
Сведения о Thunderbolt-контроллере (название, идентификатор, производитель) хранятся в специальной области DROM, которую можно модифицировать:
То есть модификацией этой области можно «переименовать» Thunderbolt-контроллер, заставив систему поверить, что подключено поддерживаемое устройство.
Авторы ссылаются на другую публикацию, посвященную исследованию технологии Thunderbolt, – Thunderclap. В ней упоминается, что в Apple MacOS применяется «белый список» поддерживаемых Thunderbolt-устройств и этим приемом данный список можно обойти. Имеются большие сомнения, что это действительно так (Apple вбивает в систему ID каждой новой модели Thunderbolt-устройства? Новые устройства не будут работать на старых системах?).
Один и тот же контроллер может применяться для подключения разных PCI-Express-устройств. Поэтому область DROM контроллера изначально допускает возможность модификации, чтобы каждый производитель мог указать характеристики устройства, его уникальный идентификатор и аппаратную версию.
4. Обратная совместимость с Thunderbolt 1 и 2
Здесь продолжается идея пункта № 2, где для клонирования устройства поколения Thunderbolt 3 (в котором нельзя менять UUID) использовалось устройство поколения Thunderbolt 2. Системный драйвер производит идентификацию только на основе UUID и данных аутентификации, не принимая во внимание, что контроллер не только другой версии, но и другого поколения.
Естественно, сама обратная совместимость не является уязвимостью.
5. Некорректная обратная связь конфигурации Thunderbolt
Конфигурация уровня безопасности Thunderbolt-контроллера выполняется в UEFI:
При этом UEFI не получает текущее состояние конфигурации от контроллера, а хранит его в BIOS компьютера. И если изменить конфигурацию безопасности программатором, то в BIOS будет отображаться неактуальная информация.
Но как в Windows, так и в Linux имеется ПО, в котором отображается реальный установленный уровень безопасности:
6. Возможность заблокировать запись по SPI
Здесь проблема, скорее, не в том, что программатором можно установить блокировку на SPI-флеш-память контроллера (такую операцию можно проделать буквально на любом устройстве, и оно тоже перестанет обновляться), а в отсутствии отображения ошибок при попытке смены конфигурации/обновлении микропрограммы при заблокированном флеш.
UEFI посылает команду смены уровня безопасности и не проверяет, установился ли нужный уровень. Вы считаете, что все выполнилось, а на самом деле ничего не изменилось! Драйверы в Linux тоже отправляют новую прошивку устройству и не проверяют, успешно ли прошла запись. Получается, чтобы удостовериться в том, что результат точно соответствует ожиданиям, пользователь должен дополнительно проверять информацию о контроллере.
7. Отсутствие защиты Thunderbolt в Boot Camp
Как уже упоминалось ранее, Apple не использует уровни безопасности Thunderbolt и полагается на технологию I/O MMU. Соответственно, если вы запускаете на том же MacBook иную операционную систему и в ней не включена поддержка I/O MMU, вы сам себе злой Буратино. Примерно так ответили Apple авторам:
Some of the hardware security features you outlined are only available when users run macOS. If users are concerned about any of the issues in your paper, we recommend that they use macOS.
Эта проблема также не относится к самой технологии Thunderbolt, а является особенностью работы ОC Windows на аппаратной платформе Apple. Во всех MacBook имеется поддержка I/O MMU на уровне BIOS и нет причин, по которым защита DMA ядра Windows не должна функционировать.
С актуальной версией Windows и включенной защитой DMA атаки системе не страшны.
Thunderspy: выводы
Так или иначе, все описанные методы взлома компьютера через Thunderbolt требуют что-то разбирать, применять программатор и в конечном итоге подключать свое PCI-Express-устройство.
Если уж дошло до физического доступа к вашему устройству и тем более до его разборки, можно вынуть диск и скопировать данные, можно использовать загрузочный диск или сброс пароля, можно подключиться в «нормальный» PCI-Express и провести точно такую же атаку PCI Leech.
Средства защиты данных не ограничиваются конфигурацией интерфейсов: шифрование диска Bitlocker или TrueCrypt не даст шансов злоумышленнику даже при наличии полного доступа к компьютеру.
Thunderbolt 4/USB4
Несмотря на то что эти интерфейсы только анонсированы и мы не имеем возможности оценить все защитные технологии, встроенные в них, некоторую информацию почерпнуть можно.
Самые новые процессоры Intel с кодовым именем Ice Lake имеют встроенный контроллер Thunderbolt 3 и не подвержены атакам на конфигурацию безопасности (прошивка и конфигурация хранятся в BIOS компьютера, в защищенном разделе Intel ME). Системы на базе этих процессоров изначально имеют поддержку I/O MMU и по умолчанию не подвержены DMA-атакам через интерфейс Thunderbolt.
Что до стандарта USB4 – он включает в себя возможность туннелирования PCI Express, но это не является обязательной функцией. Все больше новых систем идет с включенной поддержкой I/O MMU, что пригодится и для USB4. Microsoft даже продвигает специальную версию Windows с усиленной защитой ядра от DMA-атак на волне новостей про Thunderspy.
Подводим итоги
Прогресс не стоит на месте. В погоне за увеличением скорости интерфейсов разработчики одновременно добавляют проблем как себе, так и пользователям. Новые возможности взлома компьютера (DMA через внешние интерфейсы), новые способы защиты от этого взлома (I/O MMU).
Так каков же ответ на вопрос «отключать ли Thunderbolt»? Скорее нет, чем да. В той же самой публикации Thunderspy показано, что конфигурацию DisplayPort & USB Only можно легко изменить программатором на No Security и включить Thunderbolt обратно. Но в таком случае (при физическом доступе к устройству) украсть данные можно не только через Thunderbolt.
Ну а что будет дальше и как производители реализуют защиту в USB4 – время покажет, будем держать вас в курсе!
Raccoon Security – специальная команда экспертов НТЦ «Вулкан» в области практической информационной безопасности, криптографии, схемотехники, обратной разработки и создания низкоуровневого программного обеспечения.
Что такое «Изоляция ядра» и «Целостность памяти» в Windows 10
О бновление в апреле 2018 года для Windows 10 обеспечивает всем пользователям функции защиты «Изоляция ядра» и «Целостность памяти». Они используют защиту на основе виртуализации для защиты Ваших основных процессов операционной системы от несанкционированного доступа, но защита по умолчанию отключена.
Что такое изоляция ядра
В первоначальном выпуске Windows 10 функции безопасности на основе виртуализации (VBS) были доступны только в корпоративных версиях Windows 10 в составе «Защиты устройства». С обновлением в апреле 2018 года изоляция ядра предоставляет некоторые функции безопасности на основе виртуализации для всех версий Windows 10.
Некоторые функции изоляции ядра включены по умолчанию на ПК с Windows 10, которые соответствуют определенным требованиям к оборудованию и прошивке, включая 64-битный процессор и чип TPM 2.0. Это также требует, чтобы Ваш ПК поддерживал технологию виртуализации Intel VT-x или AMD-V и что он включен в настройках UEFI Вашего ПК.
Когда эти функции включены, Windows использует функции аппаратной виртуализации для создания защищенной области системной памяти, изолированной от обычной операционной системы. Windows может запускать системные процессы и программное обеспечение для обеспечения безопасности в этой безопасной зоне. Это защищает важные процессы операционной системы от несанкционированного доступа к чему-либо, находящемуся за пределами безопасной зоны.
Даже если вредоносная программа работает на Вашем ПК и знает эксплойт, который должен позволить взломать эти процессы Windows, защита на основе виртуализации является дополнительным уровнем защиты, который изолирует их от атак.
Что такое целостность памяти
Функция, известная как «Целостность памяти» в интерфейсе Windows 10, также известна как «Защищенная целостность кода гипервизора» (HVCI) в документации Microsoft.
Целостность памяти по умолчанию отключена на компьютерах, обновленных до обновления апреля 2018 года, но Вы можете включить их. Он будет включен по умолчанию для новых установок Windows 10 в будущем.
Эта функция является подмножеством изоляции ядра. Для Windows обычно требуются цифровые подписи для драйверов устройств и другого кода, который работает в режиме ядра Windows низкого уровня. Это гарантирует, что они не пострадали от вредоносного ПО. Когда «Целостность памяти» включена, «служба целостности кода» в Windows запускается внутри контейнера, защищенного гипервизором, созданного изоляцией ядра. Это должно сделать почти невозможным, чтобы вредоносное ПО пыталось вмешаться в проверку целостности кода и получить доступ к ядру Windows.
Проблемы с виртуальной машиной
Поскольку целостность памяти использует аппаратное обеспечение виртуализации системы, оно несовместимо с программами виртуальной машины, такими как VirtualBox или VMware. Только одно приложение может использовать это оборудование за раз.
Вы можете увидеть сообщение о том, что Intel VT-X или AMD-V не включены или недоступны, если Вы устанавливаете программу виртуальной машины в системе с включенной целостностью памяти. В VirtualBox Вы можете увидеть сообщение об ошибке «Raw-mode is unavailable courtesy of Hyper-V», если функция защиты памяти включена.
В любом случае, если у Вас возникла проблема с программным обеспечением Вашей виртуальной машины, Вы должны отключить целостность памяти, чтобы использовать его.
Почему это отключено по умолчанию
Основная функция изоляции ядра не должна вызывать никаких проблем. Она включен на всех ПК с Windows 10, которые могут ее поддерживать, и нет интерфейса для ее отключения.
Тем не менее, защита целостности памяти может вызвать проблемы с некоторыми драйверами устройств или другими низкоуровневыми приложениями Windows, поэтому она по умолчанию отключена при обновлении. Microsoft по-прежнему подталкивает разработчиков и производителей устройств к совместимости своих драйверов и программного обеспечения, поэтому по умолчанию она включена на новых компьютерах и новых установках Windows 10.
Если один из драйверов, который требуется Вашему компьютеру для загрузки, несовместим с защитой памяти, Windows 10 отключит ее, чтобы Ваш компьютер мог загрузиться и работать правильно.
Если после включения защиты памяти возникают проблемы с другими устройствами или программным обеспечением, корпорация Microsoft рекомендует проверять обновления для конкретного приложения или драйвера. Если обновлений нет, отключите функцию защиты памяти.
Как мы уже упоминали выше, целостность памяти также будет несовместима с некоторыми приложениями, которые требуют эксклюзивного доступа к аппаратным средствам виртуализации системы, таким как программы виртуальной машины. Другие инструменты, включая некоторые отладчики, также требуют эксклюзивного доступа к этому оборудованию и не будут работать с включенной целостностью памяти.
Как включить целостность памяти изоляции ядра
Вы можете увидеть, включена ли на Вашем ПК функция изоляции ядра и включить или отключить защиту памяти в Центре безопасности Защитника Windows. (Этот инструмент будет переименован в «Безопасность Windows» как часть обновления Redstone 5, который будет запущен осенью 2018 года).
Чтобы открыть его, найдите «Центр безопасности Защитника Windows» в меню «Пуск» или откройте «Параметры» > «Обновление и безопасность» > «Безопасность Windows» > «Открыть Центр безопасности Защитника Windows».
Нажмите значок «Безопасность устройства» в Центре безопасности защитника Windows.
Если функция изоляции ядра включена на Вашем ПК, Вы увидите здесь сообщение «Безопасность на основе виртуализации работает для защиты главных частей устройства».
Чтобы включить (или отключить) защиту памяти, щелкните ссылку «Сведения об изоляции ядра».
На этом экране отображается, включена ли функция целостности памяти. На данный момент это единственный вариант.
Чтобы включить целостность памяти, переведите переключатель в положение «Вкл.». Если Вы столкнулись с проблемами приложений или устройств и Вам необходимо отключить целостность памяти, вернитесь сюда и переведите переключатель в положение «Выкл».
Вам будет предложено перезагрузить компьютер, и изменение вступит в силу только после перезагрузки.
Дополнительные функции защитника Windows от эксплойтов
Изоляция ядра и Целостность памяти — это некоторые из многих новых функций безопасности, которые Microsoft добавила как часть Защитника Windows от эксплойтов. Это набор функций, предназначенных для защиты Windows от атак.
Защита от эксплойтов, которая защищает Вашу операционную систему и приложения от многих типов эксплойтов, включена по умолчанию. Это заменяет старый инструмент EMET от Microsoft и включает в себя функции анти-эксплойт. Все пользователи Windows 10 теперь имеют защиту от эксплойтов.
Также имеется контроль доступа к папкам, который защищает Ваши файлы от вымогателей. Он не включен по умолчанию, потому что он требует некоторой настройки. Если Вы включите эту функцию, Вам придется разрешить доступ к приложениям, прежде чем они смогут обращаться к файлам в Ваших личных папках.
Целостность памяти будет включена по умолчанию на всех новых ПК, обеспечивая дополнительную защиту от атак. Только продвинутые пользователи, которые используют программное обеспечение виртуальной машины и другие инструменты, требующие доступа к аппаратной виртуализации системы, должны будут отключить его.