En farlig Thunderbolt-bug er blevet opdaget af et kriminelt kollektiv og udnyttet i det nylige Thunderspy-angreb. Det rapporteres, at det påvirker både Windows- og Linux-computere, der er produceret før 2019. Resultaterne af et vellykket Thunderbolt-hack kan resultere i omgåelse af et login til en sovende eller låst enhed, hvilket resulterer i uautoriseret adgang.
Thunderspy-angrebene: Sådan udnyttes Thunderbolt til at hacke dine computere?
Denne søndag afslørede en sikkerhedsforsker fra det hollandske teknologiske universitet i Eindhoven oplysninger om en ny hacking-metode der kan bruges til at få adgang til Thunderbolt-udstyrede computere, der kalder det Thunderspy angreb. I henhold til den offentliggjorte rapport gør dette det muligt for ondsindede brugere at få uautoriseret adgang til sådanne enheder. Sikkerhedsbypasset er kompatibelt med enheder, der er produceret før 2019.
Udnyttelsen kan give forbrydere mulighed for at bryde gennem sikrede enheder: Thunderbspy-fejlen kan omgå login-skærmbillederne til sovende og låste computere, selv når harddiskkryptering er aktiveret! I kernen af Thunderspy-angrebet er hackernes krav om at have fysisk adgang til målcomputere. Dog efter den vellykkede udførelse af indtrængen kriminelle vil praktisk taget ikke efterlade spor af udnyttelsen.
Alt, hvad hackerne skal gøre, er at følge disse trin:
- Fysisk manipulation — Hackerne bliver nødt til at få adgang til målenhederne for at få adgang til Thunderbolt-controlleren. Til det bliver de nødt til at vedhæfte en specielt konfigureret SPI-programmer.
- rekonfiguration — Ved hjælp af et SOP8-klip og SPI-programmeringsenheden udføres en rekonfigurationsoperation.
- Thunderbolt Exploit — Det egentlige Thunderspy-angreb påbegyndes ved omprogrammering af controlleren, hvilket vil deaktivere computerens sikkerhedsindstillinger.
Den fejl, der findes ved Thunderbolt-porte og -controller, findes i firmwaren, hvor sikkerhedstilstanden kontrolleres. Dette giver hackere med adgang til maskinerne til at redigere disse værdier og deaktivere alle sikkerhedsforholdsregler. For at udnytte Thunderspy-infiltrationen kræver de kriminelle ikke kun adgang til maskinerne, men også udstyr — de samlede omkostninger udgør ca. $400. Forskeren antyder også, at et bedre finansieret kriminelt kollektiv også kan føre til oprettelse af et enkelt udstyr. Den samlede tid det tager at udnytte Thunderbolt-hacket tager ca. 5 minutter, med et dedikeret apparat kan dette være endnu hurtigere.
Konsekvenser af en Thunderspy-udnyttelse: Hvor meget farligt er det?
Strategien, som forskeren bruger, drejer sig om, at controlleren indeholder kode, der indeholder sikkerhedsniveauer og relaterede konfigurationsværdier. A variant af Thunderspy er, når hackerne har adgang til Thunderbolt-enheden, hvorfra kan kopiere en “betroet identifikator” — når det er tilsluttet målcomputeren, starter gadgeten automatisk sin firmware og sender den ind i operativsystemet. Kriminelle kan bruge deres værktøjer til at fremstille dette indhold til en enhed, de ejer, og dermed narre computere.
Hacking i Thunderbolt-enheder som denne kan effektivt bruges i to malware-scenarier:
- stærk> Compilering af infiltration — Thunderspy-angrebet er kompatibelt med både Microsoft Windows og Linux-systemer, der er produceret før 2019. Årsagen hertil er, at sikkerhedskontrollerne i deres firmwarecontrollere gemmer værdierne på denne måde. Denne udnyttelse kan bryde igennem loginopfordringer, selv på computere, der er placeret i “søvn”. Forskningen viser, at dette er muligt, selv når kryptering er aktiveret.
- Sabotage — Et andet farligt scenario, der kan udnyttes i en situation i den virkelige verden, er, når der udføres forsætlig sabotage. En kriminel bande kan bruge en specielt konstrueret enhed, der kan tage form af et USB-flashdrev og sætte dem i målenheder. Ved hjælp af forprogrammeret malware-kode kan de ikke kun bryde ind i computere, men også for at udføre vilkårlig kode.
Sidste år frigav Intel en sikkerhedsmekanisme, der kan beskytte mod Thunderspy opkaldte Kernel direkte hukommelsesadgangsbeskyttelse som ikke implementeres i ældre konfigurationer. Dette er grunden til, at computere, der er produceret før det år, påvirkes.
Sådan beskyttes mod det tordenskyttige angreb?
Et sikkerhedsforslag for at beskytte mod sådanne angreb fra afviser adgang til ikke-betroede enheder, en alternativ foranstaltning er at Sluk Thunderbolt-funktionerne helt. Hvis den udvidede funktionalitet er deaktiveret, fungerer Thunderbolt kun som en filoverførsels- og displayport. Intel-patch'en, der er afhængig af introduktionen af Kernel Direct Memory Access Protection, kan effektivt blokere Thunderspy-udnyttelsesmekanismen.
En relateret indbrud blev opdaget tilbage i Februar 2019 kaldes Thunderclap. Det blev opdaget af et team af forskere, der ligner Thunderspy. En proof-of-concept-model demonstrerer, at en malware-enhed kan få adgang til systemindstillinger og manipulere målenhederne. Dette påvirker også, at større operativsystemer kan blive påvirket: Microsoft Windows, Linux MacOS. Endnu en gang rådede sikkerhedsforskerne om, at Thunderbolt-funktionaliteten begrænses, indtil Kernel Direct Memory Access Protection er implementeret.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: