Громовой шпион

Уязвимость системы безопасности

Thunderspy — это тип уязвимости безопасности , основанный на порте Intel Thunderbolt 3 , о котором впервые было сообщено публично 10 мая 2020 года. Она может привести к атаке злоумышленника (т. е. злоумышленника, атакующего оставленное без присмотра устройство) с получением полного доступа к информации компьютера примерно за пять минут и может затронуть миллионы компьютеров Apple , Linux и Windows , а также любые компьютеры, выпущенные до 2019 года, а некоторые и после этого. ^{[1] [2] [3] [4] [5] [6] [7] [8]}

По словам Бьорна Рюйтенберга, первооткрывателя уязвимости, «Все, что нужно сделать злой горничной, это открутить заднюю панель, на мгновение прикрепить устройство, перепрограммировать прошивку, снова прикрепить заднюю панель, и злая горничная получает полный доступ к ноутбуку. Все это можно сделать менее чем за пять минут». ^[1] Вредоносная прошивка используется для клонирования идентификаторов устройств, что делает возможной классическую атаку DMA. ^[4]

История

Уязвимости безопасности Thunderspy были впервые публично сообщены Бьёрном Рюйтенбергом из Эйндховенского технологического университета в Нидерландах 10 мая 2020 года. ^[9] Thunderspy похож на Thunderclap , ^{[10] [11]} еще одну уязвимость безопасности, о которой сообщалось в 2019 году, которая также подразумевает доступ к файлам компьютера через порт Thunderbolt. ^[8]

Влияние

Уязвимость системы безопасности затрагивает миллионы компьютеров Apple, Linux и Windows, а также все компьютеры, выпущенные до 2019 года и некоторые после этого. ^{[1] [3] [4]} Однако это воздействие ограничивается в основном тем, насколько точным должен быть злоумышленник, чтобы выполнить атаку. Необходим физический доступ к машине с уязвимым контроллером Thunderbolt, а также перезаписываемая микросхема ПЗУ для прошивки контроллера Thunderbolt. ^[4] Кроме того, часть Thunderspy, в частности часть, включающая перезапись прошивки контроллера, требует, чтобы устройство находилось в спящем режиме ^[4] или, по крайней мере, в каком-то включенном состоянии, чтобы быть эффективным. ^[12] Машины, которые принудительно отключаются при открытии корпуса, могут помочь в сопротивлении этой атаке в той степени, в которой сама функция (переключатель) устойчива к несанкционированному вмешательству.

Ввиду характера атак, требующих расширенного физического доступа к оборудованию, маловероятно, что атака затронет пользователей за пределами деловой или правительственной среды. ^{[12] [13]}

Смягчение

Исследователи утверждают, что простого программного решения не существует, и его можно смягчить только путем полного отключения порта Thunderbolt. ^[1] Однако последствия этой атаки (чтение памяти на уровне ядра без необходимости выключения машины) в значительной степени смягчаются функциями защиты от вторжений, предоставляемыми многими бизнес-машинами. ^[14] Intel утверждает, что включение таких функций существенно ограничит эффективность атаки. ^[15] Официальные рекомендации по безопасности Microsoft рекомендуют отключать спящий режим при использовании BitLocker. ^[16] Использование гибернации вместо спящего режима выключает устройство, снижая потенциальные риски атаки на зашифрованные данные.

Ссылки

1. Гринберг, Энди (10 мая 2020 г.). «Уязвимости Thunderbolt подвергают миллионы ПК хакерскому взлому — так называемая атака Thunderspy занимает менее пяти минут при физическом доступе к устройству и затрагивает любой ПК, выпущенный до 2019 года». Wired . Получено 11 мая 2020 г.
2. Портер, Джон (11 мая 2020 г.). «Уязвимость Thunderbolt позволяет получить доступ к данным ПК за считанные минуты — затрагивает все ПК с поддержкой Thunderbolt, выпущенные до 2019 года и некоторые после этого». The Verge . Получено 11 мая 2020 г.
3. Doffman, Zak (11 мая 2020 г.). «Intel подтверждает наличие новой критической проблемы безопасности для пользователей Windows». Forbes . Получено 11 мая 2020 г. .
4. Ruytenberg, Björn (2020). "Thunderspy: When Lightning Strikes Thrice: Breaking Thunderbolt 3 Security". Thunderspy.io . Получено 11 мая 2020 г. .
5. Ковач, Эдуард (11 мая 2020 г.). «Thunderspy: Еще больше уязвимостей Thunderbolt подвергают миллионы компьютеров атакам». SecurityWeek.com . Получено 11 мая 2020 г. .
6. О'Доннелл, Линдси (11 мая 2020 г.). «Миллионы устройств, оснащенных Thunderbolt, открыты для атаки «ThunderSpy». ThreatPost.com . Получено 11 мая 2020 г. .
7. Wyciślik-Wilson, София (11 мая 2020 г.). «Уязвимость Thunderspy в Thunderbolt 3 позволяет хакерам красть файлы с машин Windows и Linux». BetaNews.com . Получено 11 мая 2020 г. .
8. Gorey, Colm (11 мая 2020 г.). «Thunderspy: Что вам нужно знать о неисправимой уязвимости в старых ПК». SiliconRepublic.com . Получено 12 мая 2020 г. .
9. Рютенберг, Бьёрн (17 апреля 2020 г.). «Breaking Thunderbolt Protocol Security: Vulnerability Report. 2020» (PDF) . Thunderspy.io . Получено 11 мая 2020 г. .
10. Сотрудники (26 февраля 2019 г.). «Thunderclap: Современные компьютеры уязвимы для вредоносных периферийных устройств» . Получено 12 мая 2020 г.
11. Гартенберг, Хаим (27 февраля 2019 г.). «Уязвимость «Thunderclap» может сделать компьютеры Thunderbolt уязвимыми для атак — помните: не подключайте к компьютеру что попало». The Verge . Получено 12 мая 2020 г.
12. Grey, Mishka (13 мая 2020 г.). «7 уязвимостей Thunderbolt затрагивают миллионы устройств: «Thunderspy» позволяет физически взломать их за 5 минут. У вас есть ноутбук с поддержкой Thunderbolt, и вы купили его после 2011 года? Что ж, у нас есть новости для ВАС. 7 недавно обнаруженных уязвимостей Intel Thunderbolt сделали ваше устройство уязвимым для хакеров. Узнайте, что делать?». HackReports.com . Получено 18 мая 2020 г.
13. codeHusky (11 мая 2020 г.). "Видео (11:01) - Thunderspy не о чем беспокоиться - вот почему". YouTube . Получено 12 мая 2020 г. .
14. Staff (26 марта 2019 г.). «Защита DMA ядра для Thunderbolt™ 3 (Windows 10) — безопасность Microsoft 365». Microsoft Docs . Получено 17 мая 2020 г.
15. Джерри, Брайант (10 мая 2020 г.). «Дополнительная информация о безопасности Thunderbolt(TM) — Technology@Intel» . Получено 17 мая 2020 г.
16. «Часто задаваемые вопросы о безопасности BitLocker (Windows 10) — Безопасность Windows».

Внешние ссылки

• Официальный сайт
• Видео (5:54) – Thunderspy: доказательство концепции на YouTube
• Видео (11:01) - Thunderspy не о чем беспокоиться - Вот почему на YouTube ^{[ нужна ссылка ]}