Новый недостаток Thunderbolt позволяет хакерам обойти функции безопасности за пять минут

2
Новый недостаток Thunderbolt позволяет хакерам обойти функции безопасности за пять минут
Вкратце: Если ваш ноутбук каким-то образом попадет в руки хакеров, сохранит ли его содержимое экран входа в систему и шифрование жесткого диска? Вы можете себе это представить, но если у него есть порт Thunderbolt, у вас могут быть проблемы.

Интерфейс Intel Thunderbolt обеспечивает скорость передачи 40 Гбит / с, а также возможность питания устройств и подключения к периферийным устройствам 4K. Он обеспечивает более прямой доступ к памяти компьютера по сравнению с другими портами.

Одним из недостатков Thunderbolt 3 являются проблемы с безопасностью; Microsoft говорит, что вы не найдете порт на устройствах Surface, потому что он небезопасен.

В прошлом году стало известно, что ряд уязвимостей системы безопасности под названием Thunderclap позволил хакеру с вредоносным USB-накопителем использовать прямой доступ к памяти Thunderbolt, минуя все меры безопасности компьютера.

Можно защитить от удара молнии, запретив доступ к ненадежным устройствам или вообще отключив Thunderbolt, но новая атака может обойти даже эти меры.

Как сообщает Wired, исследователь Эйндховенского технологического университета Бьорн Райтенберг обнаружил новую атаку, которую он назвал Thunderspy, которая может обойти экран входа в систему спящих или заблокированных компьютеров с поддержкой Thunderbolt. Он работает на ПК под управлением Windows и Linux, выпущенных до 2019 года, и может даже обойти шифрование жесткого диска.

Техника, которая занимает менее пяти минут, основана на том, что злоумышленник, находящийся наедине с устройством, известен как «атака злой девицы».

«Все, что нужно сделать злой служанке, – это отвинтить заднюю панель, на мгновение подключить устройство, перепрограммировать прошивку, установить на место заднюю панель, и злая служанка получит полный доступ к ноутбуку», – говорит Райтенберг.

Чтобы предотвратить предыдущую атаку Thunderclap, Intel создала Kernel Direct Memory Access Protection, которая также предотвращает Thunderspy. Но на компьютерах, выпущенных до 2019 года, Kernal DMA Protection не применяется, и его реализация неэффективна на устройствах, выпущенных с 2019 года или позже. Только несколько моделей HP и Lenovo от 2019 или более поздней версии используют его, и исследователи не смогли найти Kernel DMA Protection на любых компьютерах Dell (обновление: Dell заявляет, что его клиентские, потребительские и коммерческие платформы, поставляемые с 2019 года, имеют защиту Kernel DMA, когда SecureBoot включен). Следует отметить, что компьютеры Apple MacOS не подвержены влиянию.

Вы можете увидеть атаку, которая включает в себя открытие ноутбука, выполненную в видео выше. Устройство программирования SPI переписывает прошивку контроллера Thunderbolt, отключая его настройки безопасности.

«Я проанализировал прошивку и обнаружил, что она содержит состояние безопасности контроллера», – говорит Райтенберг. «И поэтому я разработал методы, чтобы изменить это состояние безопасности на« нет ». Таким образом, в основном отключение всей безопасности “.

В этом методе используется оборудование стоимостью около 400 долларов, но также требуется устройство программирования SPI и периферийное устройство стоимостью 200 долларов для проведения прямой атаки на память. Райтенберг считает, что вся установка может быть встроена в одно устройство примерно за 10 000 долларов. «У трехбуквенных агентств не будет проблем с миниатюризацией этого», – сказал он.

Получив информацию об атаке, Intel отметила, что защита Kernel DMA предотвращает ее. Компания также рекомендовала «использовать только надежные периферийные устройства и предотвращать несанкционированный физический доступ к компьютерам».

Конечно, лучшая профилактическая мера – обеспечить, чтобы хакеры не имели физического доступа к вашему компьютеру.

Вы можете проверить, является ли ваша машина уязвимой для Thunderspy, используя этот бесплатный инструмент, созданный Ruytenberg.