Уязвимост в Thunderbolt излага на риск милиони компютри

Експертът Бьорн Рютенберг от Техническия университет в Айндховен е открил уязвимост в стандарта Thunderbolt, която позволява на хакери да получат достъп до съдържанието на диска на заключен лаптоп само за 5 минути. Според Wired този пропуск засяга всички компютри с Windows и Linux, които са произведени преди 2019 година. Открилият уязвимостта смята да я представи през лятото по време на конференцията за сигурността Black Hat.

Хакерите имат нужда от физически достъп до атакуваната машина и на теория могат да получат достъп до информацията в система, която е заключена, защитена с парола и с криптиран твърд диск. Бьорн Рютенберг показва как атаката може да бъде осъществена чрез налични на пазара компоненти за около 400 долара. Изискват се обаче SPI програматор и друго устройство, което се включва в Thunderbolt за заобикаляне на заключването на компютъра.

Рютенберг обаче смята, че добре обезпечен финансово хакер (или пък агенция за сигурност) може да събере всичко необходимо в малко устройство на цена около 10 000 долара. В повечето случаи се изисква и отваряне на компютъра, което обаче става бързо и не оставя следи. Методът е наречен Thunderspy, а самата атака - "evil maid", защото може да бъде извършена от хакер, който е останал известно време с компютъра - например в хотелска стая.

Експертът посочва, че засега няма лесен начин за отстраняване на този пропуск, а единственият сигурен метод е пълното деактивиране на Thunderbolt порта. Тъй като липсва софтуерна поправка на проблема, е нужен хардуерен редизайн на засегнатите компоненти. Това не е първият път, в който се повдигат въпроси около сигурността на Thunderbolt, която има директен достъп с компютърната памет за постигане на по-високи скорости на трансфер. Миналата година например се появи информация за уязвимостта Thunderclap, а опасенията за сигурността на технологията са причина Microsoft да не включва такива портове в компютрите Surface.

Рютенберг разкрива, че има и по-малко инвазивна версия на Thunderspy, която изисква достъп до Thunderbolt периферно устройство, което в даден момент потребителят е включил в компютъра. Тези устройства се определят от компютъра като trusted и в тях има 64-битов код, който може да се копира в друга джаджа. Така може да се заобиколи заключването на компютъра и без да се налага отварянето му. Този метод обаче работи само ако Thunderbolt портът е конфигуриран за приема trusted устройства.

Откритията на експерта са били споделени с Intel преди три месеца. С публикация в своя блог компанията коментира информацията и посочва, че уязвимостта не е нова, има нужда от специализиран хардуер, а освен това е била отстранена през миналата година със софтуерен ъпдейт на всички основни ОС, който е въвел Kernel Direct Memory Access (DMA) защита. Рютенберг обаче твърди, че става дума за нов пропуск, а за атаката се ползват налични компоненти.

Wired посочва, че технологията Kernel DMA липсва от всички компютри, които са произведени преди 2019 и дори днес не е стандартна функция. В допълнение много от периферните устройства с Thunderbolt, който са произведени преди 2019 са несъвместими със защитата. В тестовете си експертите от Айндховен например не са успели да открият лаптопи Dell с Kernel DMA (преди или след 2019), а при HP и Lenovo да се ползва само в някои системи след 2019. Компютрите с macOS не са засегнати от тази уязвимост.

Бьорн Рютенберг предоставя и инструмент, с който да проверите дали вашият компютър е поддатлив на Thunderspy и дали е възможно в него да се активира Kernel DMA. Съветът му към потребителите, които искат да премахнат възможност за такава атака и да получат пълна защита, е да деактивират Thunderbolt портовете през BIOS, да включат криптиране на диска и напълно да изключват компютрите си, когато не са край тях.

Източник: Wired