Un pericoloso insetto di fulmine è stato scoperto da un collettivo criminale e sfruttato nel recente attacco di tuono. È stato riferito che interessa sia i computer Windows che Linux prodotti in precedenza 2019. I risultati di un successo di un colpo di fulmine possono comportare il bypass di un login di un dispositivo in sospensione o bloccato con conseguente accesso non autorizzato.
The Thunderspy Attacks: Come viene sfruttato il fulmine per compromettere i tuoi computer?
Questa domenica un ricercatore di sicurezza dell'Università olandese di tecnologia di Eindhoven ha rivelato informazioni su a nuovo metodo di hacking che può essere utilizzato per accedere ai computer equipaggiati con Thunderbolt che lo chiamano Attacco fragoroso. Secondo il rapporto pubblicato ciò consente agli utenti malintenzionati di ottenere un accesso non autorizzato a tali dispositivi. Il bypass di sicurezza è compatibile con i dispositivi che sono stati prodotti in precedenza 2019.
L'exploit può consentire ai criminali di sfondare dispositivi protetti: il difetto di Thunderbspy può bypassare le schermate di accesso dei computer dormienti e bloccati, anche quando la crittografia del disco rigido è abilitata! Al centro dell'attacco di Thunderspy c'è il requisito degli hacker di avere accesso fisico ai computer di destinazione. Tuttavia, dopo la corretta esecuzione dell'intrusione i criminali praticamente non lasceranno traccia dell'exploit.
Tutto ciò che gli hacker devono fare è seguire questi passaggi:
- Manipolazione fisica — Gli hacker dovranno accedere ai dispositivi di destinazione per accedere al controller Thunderbolt. Ad esso dovranno collegare un programmatore SPI appositamente configurato.
- Riconfigurazione — Utilizzando una clip SOP8 e il dispositivo programmatore SPI verrà eseguita un'operazione di riconfigurazione.
- Sfruttamento di fulmine — L'attacco Thunderspy effettivo viene avviato riprogrammando il controller che disabiliterà le impostazioni di sicurezza del computer.
Il difetto riscontrato con le porte e il controller Thunderbolt è nel firmware in cui è controllato lo stato di sicurezza. Ciò consente agli hacker con accesso alle macchine di modificare questi valori e disabilitare tutte le precauzioni di sicurezza. Al fine di sfruttare l'infiltrazione di Thunderspy, i criminali richiedono non solo l'accesso alle macchine, ma anche attrezzature — il costo complessivo è pari a circa $400. Il ricercatore suggerisce inoltre che un collettivo criminale meglio finanziato potrebbe anche portare alla creazione di un singolo dispositivo. Il tempo totale necessario per sfruttare l'hack di Thunderbolt è circa 5 verbale, con un apparecchio dedicato questo può essere ancora più veloce.
Conseguenze di un exploit Thunderspy: Quanto è pericoloso?
La strategia utilizzata dal ricercatore ruota attorno al fatto che il controller contiene codice contenente livelli di sicurezza e relativi valori di configurazione. La variante di Thunderspy è quando gli hacker hanno accesso al dispositivo Thunderbolt da cui possono copiare “identificatore di fiducia” — quando collegato al computer di destinazione, il gadget avvia automaticamente il suo firmware e lo passa al sistema operativo. I criminali possono usare i loro strumenti per fabbricare questi contenuti su un dispositivo di loro proprietà ingannando i computer.
L'hacking in dispositivi Thunderbolt come questo può essere efficacemente utilizzato in due scenari di malware:
- strong> Computer infiltrazione — L'attacco di Thunderspy è compatibile con i sistemi Microsoft Windows e Linux prodotti in precedenza 2019. La ragione di ciò è che nei loro controller del firmware i controller di sicurezza memorizzano i valori in questo modo. Questo exploit può interrompere le richieste di accesso anche sui computer in cui sono inseriti “dormire”. La ricerca mostra che ciò è possibile anche quando la crittografia è abilitata.
- Sabotaggio — Un altro scenario pericoloso che può essere sfruttato in una situazione del mondo reale è quando viene eseguito il sabotaggio intenzionale. Una banda criminale può utilizzare un dispositivo appositamente costruito che può assumere la forma di un'unità flash USB e collegarli a dispositivi di destinazione. Utilizzando un codice malware preprogrammato, non solo possono penetrare nei computer, ma anche per eseguire codice arbitrario.
L'anno scorso Intel ha rilasciato un meccanismo di sicurezza in grado di proteggere da Thunderspy chiamato Protezione dell'accesso alla memoria diretta del kernel che non è implementato in configurazioni precedenti. Questo è il motivo per cui sono interessati i computer prodotti prima di quell'anno.
Come proteggersi dall'attacco fragoroso?
Una proposta di sicurezza per salvaguardare da tali attacchi impedendo l'accesso a dispositivi non attendibili, una misura alternativa è quella di disattiva completamente le funzionalità Thunderbolt. Se la funzionalità estesa è disabilitata, Thunderbolt funzionerà solo come trasferimento file e porta di visualizzazione. La patch Intel che si basa sull'introduzione del Kernel Direct Memory Access Protection può bloccare efficacemente il meccanismo di exploit di Thunderspy.
Un'intrusione correlata è stata scoperta nel passato Febbraio 2019 chiamato Temporale. È stato scoperto da un team di ricercatori simile a Thunderspy. Un modello a prova di concetto dimostra che un dispositivo malware può accedere alle impostazioni di sistema e manipolare i dispositivi di destinazione. Ciò influisce anche sull'influenza dei principali sistemi operativi: Microsoft Windows, Linux MacOS. Ancora una volta i ricercatori di sicurezza hanno consigliato di limitare la funzionalità Thunderbolt fino all'implementazione della protezione dall'accesso diretto alla memoria del kernel.
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: