Un dangereux bug Thunderbolt a été découvert par un collectif criminel et exploité lors de la récente attaque de Thunderspy. Il est signalé qu'il affecte à la fois les ordinateurs Windows et Linux fabriqués avant 2019. Les résultats d'un piratage Thunderbolt réussi peuvent entraîner le contournement de la connexion d'un appareil en veille ou verrouillé, entraînant un accès non autorisé.
The Thunderspy Attacks: Comment Thunderbolt est exploité pour pirater vos ordinateurs?
Ce dimanche, un chercheur en sécurité de l'Université néerlandaise de technologie d'Eindhoven a révélé des informations sur un nouvelle méthode de piratage qui peut être utilisé pour accéder à des ordinateurs équipés de Thunderbolt qui l'appellent le Attaque orageuse. Selon le rapport publié, cela permet aux utilisateurs malveillants d'obtenir un accès non autorisé à ces appareils. Le contournement de sécurité est compatible avec les appareils qui ont été fabriqués avant 2019.
L'exploit peut permettre aux criminels de percer des appareils sécurisés: la faille Thunderbspy peut contourner les écrans de connexion des ordinateurs en veille et verrouillés, même lorsque le chiffrement du disque dur est activé! Au cœur de l'attaque Thunderspy se trouve l'exigence pour les pirates d'avoir un accès physique aux ordinateurs cibles. Cependant lors de l'exécution réussie de l'intrusion les criminels ne laisseront pratiquement aucune trace de l'exploit.
Tout ce que les hackers doivent faire est de suivre ces étapes:
- Manipulation physique — Les pirates devront avoir accès aux appareils cibles pour accéder au contrôleur Thunderbolt. Ils devront y attacher un programmeur SPI spécialement configuré.
- Reconfiguration — À l'aide d'un clip SOP8 et du dispositif de programmation SPI, une opération de reconfiguration sera exécutée.
- Exploit Thunderbolt — L'attaque Thunderspy proprement dite commence par la reprogrammation du contrôleur qui désactivera les paramètres de sécurité de l'ordinateur..
La faille trouvée avec les ports et le contrôleur Thunderbolt se trouve dans le firmware où l'état de sécurité est contrôlé. Cela permet aux pirates ayant accès aux machines de modifier ces valeurs et de désactiver toutes les précautions de sécurité. Afin de tirer parti de l'infiltration de Thunderspy, les criminels ont besoin non seulement d'un accès aux machines, mais aussi des équipements — le coût total s'élève à environ $400. Le chercheur suggère également qu'un collectif criminel mieux financé peut également conduire à la création d'un seul appareil. Le temps total nécessaire pour exploiter le hack Thunderbolt prend environ 5 procès-verbal, avec un appareil dédié, cela peut être encore plus rapide.
Conséquences d'un exploit Thunderspy: Combien il est dangereux?
La stratégie utilisée par le chercheur tourne autour du fait que le contrôleur contient du code contenant des niveaux de sécurité et des valeurs de configuration associées. Une variante de Thunderspy est lorsque les pirates ont accès à l'appareil Thunderbolt à partir duquel le peut copier un “identifiant de confiance” — lorsqu'il est branché sur l'ordinateur cible, le gadget démarre automatiquement son micrologiciel et le transmet au système d'exploitation. Les criminels peuvent utiliser leurs outils pour fabriquer ce contenu sur un appareil qu'ils possèdent, trompant ainsi les ordinateurs.
Le piratage d'appareils Thunderbolt comme celui-ci peut être utilisé efficacement dans deux scénarios de malware:
- fort> Infiltration d'ordinateurs — L'attaque Thunderspy est compatible avec les systèmes Microsoft Windows et Linux qui ont été fabriqués avant 2019. La raison en est que dans leurs contrôleurs de micrologiciel, les contrôleurs de sécurité stockent les valeurs de cette manière. Cet exploit peut franchir les invites de connexion même sur les ordinateurs placés dans “dormir”. La recherche montre que cela est possible même lorsque le cryptage est activé.
- Sabotage — Un autre scénario dangereux qui peut être exploité dans une situation réelle est lorsqu'un sabotage intentionnel est effectué. Un gang criminel peut utiliser un appareil spécialement conçu pouvant prendre la forme d'une clé USB et le brancher sur les appareils cibles. En utilisant un code malveillant préprogrammé, ils peuvent non seulement pénétrer dans les ordinateurs, mais aussi pour exécuter du code arbitraire.
L'année dernière, Intel a publié un mécanisme de sécurité qui peut protéger contre Thunderspy appelé Protection d'accès direct à la mémoire du noyau qui n'est pas implémenté dans les anciennes configurations. C'est la raison pour laquelle les ordinateurs fabriqués avant cette année sont affectés.
Comment se protéger de l'attaque de Thunderspy?
Une proposition de sécurité pour se prémunir contre de telles attaques interdiction d'accès aux appareils non approuvés, une autre mesure consiste à désactiver complètement les capacités Thunderbolt. Si la fonctionnalité étendue est désactivée, le Thunderbolt fonctionnera uniquement comme un transfert de fichiers et un port d'affichage. Le correctif Intel qui repose sur l'introduction de la protection d'accès direct à la mémoire du noyau peut bloquer efficacement le mécanisme d'exploitation Thunderspy.
Une intrusion connexe a été découverte dans Février 2019 appelé Thunderclap. Il a été découvert par une équipe de chercheurs similaire à Thunderspy. Un modèle de validation de principe montre qu'un périphérique malveillant peut accéder aux paramètres système et manipuler les périphériques cibles. Cela affecte également permet aux principaux systèmes d'exploitation d'être affectés: Microsoft Windows, Linux MacOS. Une fois de plus, les chercheurs en sécurité ont conseillé de limiter la fonctionnalité Thunderbolt jusqu'à la mise en œuvre de la protection d'accès direct à la mémoire du noyau..
Martin Beltov
Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.
Suivez-moi: