Голландский специалист в сфере безопасности Бьорн Рутенбернг (Björn Ruytenberg) обнаружил неисправимую уязвимость прошивки контроллеров Thunderbolt. Она позволяет получить доступ к системе, обходя шифрование накопителя и экран входа с логином и паролем. Есть одно существенное условие: уязвимость под названием "Thunderspy" требует физического доступа к внутренностям компьютера жертвы, то есть удаленно атаку провести невозможно. Уязвимы системы Linux и Windows, компьютеры Mac данной бреши не имеют.
Как указывает Бьорн, успешная атака не оставляет следов. Злоумышленнику на выполнение атаки требуется несколько минут физического доступа к устройству (подразумевается его вскрытие). За это время злоумышленник устанавливает прошивку чипа Thunderbolt, подключившись к его контактам.
Проблема может возникнуть, например, с ноутбуками, которые гости оставляют в номерах отеля. Злоумышленник под видом гостиничного персонала может получить доступ к хранящимся данным. Для выполнения атаки требуется программатор и другое оборудование ценой около $400.
Впрочем, в начале 2019 года Intel добавила защиту Kernel DMA Protection, которая блокирует атаку Thunderbolt. Если данная защита имеется и активна, то компьютер защищен от Thunderspy. Но Kernel DMA Protection присутствует только в системах, которые были выпущены в 2019 году и позже. Кроме того, некоторые производители ее не активируют. Узнать о том, уязвима ли ваша система, можно с помощью утилиты Spycheck, которую можно скачать на сайте Thunderspy. Если система уязвима, то для отключения порта Thunderbolt под Windows недостаточно. Необходимо отключения контроллера в BIOS.
Бьорн представит подробности атаки на хакерской конференции Defcon в августе.
Подписывайтесь на группы Hardwareluxx ВКонтакте и Facebook, а также на наш канал в Telegram (@hardwareluxxrussia).