Ein gefährlicher Thunderbolt-Fehler wurde von einem kriminellen Kollektiv entdeckt und bei dem jüngsten Thunderspy-Angriff ausgenutzt. Es wird berichtet, dass es sowohl Windows- als auch Linux-Computer betrifft, die zuvor hergestellt wurden 2019. Die Ergebnisse eines erfolgreichen Thunderbolt-Hacks können dazu führen, dass ein Login eines schlafenden oder gesperrten Geräts umgangen wird, was zu unbefugtem Zugriff führt.
Die Thunderspy-Angriffe: Wie Thunderbolt ausgenutzt wird, um Ihre Computer zu hacken?
Diesen Sonntag enthüllte ein Sicherheitsforscher der niederländischen Technischen Universität Eindhoven Informationen über a neue Hacking-Methode Dies kann verwendet werden, um Zugriff auf mit Thunderbolt ausgestattete Computer zu erhalten Thunderspy-Angriff. Laut dem veröffentlichten Bericht können böswillige Benutzer unbefugten Zugriff auf solche Geräte erhalten. Der Sicherheitsbypass ist mit Geräten kompatibel, die zuvor hergestellt wurden 2019.
Der Exploit kann es den Kriminellen ermöglichen, gesicherte Geräte zu durchbrechen: Der Thunderbspy-Fehler kann die Anmeldebildschirme von schlafenden und gesperrten Computern umgehen, auch wenn die Festplattenverschlüsselung aktiviert ist! Im Zentrum des Thunderspy-Angriffs steht die Anforderung, dass die Hacker physischen Zugriff auf die Zielcomputer haben müssen. Jedoch nach der erfolgreichen Ausführung des Eingriffs Die Kriminellen werden praktisch keine Spur des Exploits hinterlassen.
Alles, was die Hacker tun müssen, ist, diese Schritte zu befolgen:
- Physikalische Manipulation — Die Hacker müssen Zugriff auf die Zielgeräte erhalten, um auf den Thunderbolt-Controller zugreifen zu können. Daran müssen sie einen speziell konfigurierten SPI-Programmierer anschließen.
- Neukonfiguration — Mit einem SOP8-Clip und dem SPI-Programmiergerät wird eine Rekonfigurationsoperation ausgeführt.
- Thunderbolt Exploit — Der eigentliche Thunderspy-Angriff wird durch Neuprogrammierung des Controllers gestartet, wodurch die Sicherheitseinstellungen des Computers deaktiviert werden.
Der Fehler bei den Thunderbolt-Ports und dem Controller liegt in der Firmware, in der der Sicherheitsstatus gesteuert wird. Dadurch können Hacker mit Zugriff auf die Computer diese Werte bearbeiten und alle Sicherheitsvorkehrungen deaktivieren. Um die Thunderspy-Infiltration wirksam einsetzen zu können, benötigen die Kriminellen nicht nur Zugang zu den Maschinen, aber auch Ausrüstung — Die Gesamtkosten belaufen sich auf ca. $400. Der Forscher schlägt auch vor, dass ein besser finanziertes kriminelles Kollektiv auch zur Schaffung eines einzigen Geräts führen könnte. Die Gesamtzeit, die benötigt wird, um den Thunderbolt-Hack zu nutzen, dauert ungefähr 5 Minuten, Mit einem dedizierten Gerät kann dies sogar noch schneller sein.
Folgen eines Thunderspy Exploit: Wie gefährlich ist es??
Die vom Forscher verwendete Strategie basiert auf der Tatsache, dass der Controller Code enthält, der Sicherheitsstufen und zugehörige Konfigurationswerte enthält. A Variante von Thunderspy ist, wenn die Hacker Zugriff auf das Thunderbolt-Gerät haben, von dem sie ein kopieren können “vertrauenswürdige Kennung” — Wenn das Gadget an den Zielcomputer angeschlossen ist, startet es automatisch seine Firmware und übergibt sie an das Betriebssystem. Die Kriminellen können ihre Werkzeuge verwenden, um diesen Inhalt auf einem Gerät zu fabrizieren, das sie besitzen, wodurch die Computer ausgetrickst werden.
Das Hacken in solche Thunderbolt-Geräte kann effektiv eingesetzt werden zwei Malware-Szenarien:
- stark> Computerinfiltration — Der Thunderspy-Angriff ist sowohl mit Microsoft Windows- als auch mit Linux-Systemen kompatibel, die zuvor hergestellt wurden 2019. Der Grund dafür ist, dass die Sicherheitscontroller in ihren Firmware-Controllern die Werte auf diese Weise speichern. Dieser Exploit kann Anmeldeaufforderungen auch auf Computern durchbrechen, auf denen er platziert ist “Schlaf”. Die Forschung zeigt, dass dies auch möglich ist, wenn die Verschlüsselung aktiviert ist.
- Sabotage — Ein weiteres gefährliches Szenario, das in einer realen Situation ausgenutzt werden kann, ist die absichtliche Sabotage. Eine kriminelle Bande kann ein speziell konstruiertes Gerät verwenden, das die Form eines USB-Flash-Laufwerks haben und diese an Zielgeräte anschließen kann. Mit vorprogrammiertem Malware-Code können sie nicht nur in die Computer eindringen, sondern auch beliebigen Code auszuführen.
Letztes Jahr hat Intel einen Sicherheitsmechanismus veröffentlicht, der vor Thunderspy schützen kann Kernel Direct Memory Access Protection was in älteren Konfigurationen nicht implementiert ist. Dies ist der Grund, warum Computer, die vor diesem Jahr hergestellt wurden, betroffen sind.
So schützen Sie sich vor dem Thunderspy-Angriff?
Ein Sicherheitsvorschlag zum Schutz vor solchen Angriffen durch Zugriff auf nicht vertrauenswürdige Geräte nicht zulassen, eine alternative Maßnahme ist zu Schalten Sie die Thunderbolt-Funktionen vollständig aus. Wenn die erweiterte Funktionalität deaktiviert ist, fungiert der Thunderbolt nur als Dateiübertragungs- und Anzeigeport. Der Intel-Patch, der auf der Einführung des Kernel Direct Memory Access Protection basiert, kann den Thunderspy-Exploit-Mechanismus effektiv blockieren.
Ein verwandter Eingriff wurde bereits in entdeckt Februar 2019 genannt Thunderclap. Es wurde von einem Forscherteam entdeckt, das Thunderspy ähnlich ist. Ein Proof-of-Concept-Modell zeigt, dass ein Malware-Gerät auf Systemeinstellungen zugreifen und die Zielgeräte manipulieren kann. Dies wirkt sich auch darauf aus, dass wichtige Betriebssysteme betroffen sind: Microsoft Windows, Linux MacOS. Die Sicherheitsforscher rieten erneut, die Thunderbolt-Funktionalität einzuschränken, bis der Kernel Direct Memory Access Protection implementiert ist.
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir: