Thunderboltポートをハッキングするために使用されるThunderspy攻撃: 影響を受ける数百万台のPC

にマーティン・ベルトフ | Last Update: 12月 30, 2022 | 0 コメントコメント

危険なThunderboltバグが犯罪集団によって発見され、最近のThunderspy攻撃で悪用されました. 以前に製造されたWindowsとLinuxの両方のコンピューターに影響を与えることが報告されています 2019. Thunderboltハックが成功すると、スリープ状態またはロックされたデバイスのログインがバイパスされ、不正アクセスが発生する可能性があります。.

サンダースパイ攻撃: Thunderboltを悪用してコンピュータをハッキングする方法?

今週の日曜日、オランダのアイントホーフェン工科大学のセキュリティ研究者が、 新しいハッキング方法 これは、Thunderboltを搭載したコンピューターにアクセスするために使用できます。 サンダースパイ攻撃. 公開されたレポートによると、これにより悪意のあるユーザーがそのようなデバイスに不正にアクセスできるようになります. セキュリティバイパスは、以前に製造されたデバイスと互換性があります 2019.

このエクスプロイトにより、犯罪者はセキュリティで保護されたデバイスを突破することができます: Thunderbspyの欠陥により、スリープ状態のコンピューターとロックされたコンピューターのログイン画面がバイパスされる可能性があります, ハードディスク暗号化が有効になっている場合でも! サンダースパイ攻撃の中核となるのは、ハッカーが標的のコンピューターに物理的にアクセスする必要があることです。. ただし、侵入が正常に実行されると 犯罪者は実質的にエクスプロイトの痕跡を残しません.

ハッカーに必要なのは、これらの手順に従うことだけです:

物理的操作 — ハッカーは、Thunderboltコントローラーにアクセスするために、ターゲットデバイスにアクセスする必要があります. それに、特別に構成されたSPIプログラマーを接続する必要があります.
再構成 — SOP8クリップとSPIプログラマーデバイスを使用して、再構成操作が実行されます.
サンダーボルトエクスプロイト — 実際のサンダースパイ攻撃は、コンピューターのセキュリティ設定を無効にするコントローラーを再プログラミングすることによって開始されます.

Thunderboltポートとコントローラーで見つかった欠陥は、セキュリティ状態が制御されているファームウェアにあります. これにより、マシンにアクセスできるハッカーはこれらの値を編集し、すべてのセキュリティ対策を無効にすることができます. サンダースパイの侵入を利用するために、犯罪者はマシンへのアクセスだけでなく、, だけでなく、機器 — 全体のコストは合計で約 $400. 研究者はまた、より資金のある犯罪集団が単一のデバイスの作成につながる可能性があることを示唆しています. Thunderboltハックを活用するのにかかる合計時間は約 5 分, 専用のアプライアンスを使用すると、これはさらに高速になります.

関連している: [wplinkpreview url =”https://Sensorstechforum.com/adv200006-windows-fonts/”]ADV200006: MicrosoftWindowsは細工されたフォントを介してハッキングされる可能性があります

サンダースパイエクスプロイトの結果: それはどれくらい危険ですか?

研究者が使用する戦略は、コントローラーにセキュリティレベルと関連する構成値を含むコードが含まれているという事実を中心に展開しています. A サンダースパイの変種 ハッカーがThunderboltデバイスにアクセスして、そこからコピーできる場合です。 “信頼できる識別子” — ターゲットコンピューターに接続すると、ガジェットは自動的にファームウェアを起動し、オペレーティングシステムに渡します。. 犯罪者は自分のツールを使用して、自分が所有するデバイスにこのコンテンツを作成し、それによってコンピューターをだますことができます。.

このようなThunderboltデバイスへのハッキングは、 2つのマルウェアシナリオ:

強い>コンピュータの浸透 — サンダースパイ攻撃は、以前に製造されたMicrosoftWindowsおよびLinuxシステムの両方と互換性があります 2019. この理由は、セキュリティコントローラーがこの方法で値を格納するファームウェアコントローラーにあるためです。. このエクスプロイトは、に配置されているコンピュータでもログインプロンプトを突破する可能性があります “寝る”. 調査によると、これは暗号化が有効になっている場合でも可能です。.
サボタージュ — 現実の状況で悪用される可能性のあるもう1つの危険なシナリオは、意図的な妨害行為が実行された場合です。. 犯罪組織は、USBフラッシュドライブの形をとることができる特別に構築されたデバイスを使用して、それらをターゲットデバイスに接続することができます. 事前にプログラムされたマルウェアコードを使用すると、コンピューターに侵入できるだけではありません, だけでなく、任意のコードを実行する.

昨年、IntelはThunderspyから保護できるセキュリティメカニズムをリリースしました。 カーネルダイレクトメモリアクセス保護 古い構成では実装されていません. これが、その年より前に製造されたコンピューターが影響を受ける理由です。.

サンダースパイ攻撃から保護する方法?

このような攻撃から保護するためのセキュリティ提案 信頼できないデバイスへのアクセスを禁止する, 別の手段は Thunderbolt機能を完全にオフにします. 拡張機能が無効になっている場合、Thunderboltはファイル転送および表示ポートとしてのみ機能します. カーネルダイレクトメモリアクセス保護の導入に依存するIntelパッチは、Thunderspyエクスプロイトメカニズムを効果的にブロックできます。.

関連する侵入が発見されました 2月 2019 サンダークラップと呼ばれる. サンダースパイに似た研究者チームによって発見されました. 概念実証モデルは、マルウェアデバイスがシステム設定にアクセスしてターゲットデバイスを操作できることを示しています. これは、主要なオペレーティングシステムにも影響を及ぼします。: マイクロソフトウィンドウズ, Linux MacOS. もう一度、セキュリティ研究者は、カーネルダイレクトメモリアクセス保護が実装されるまで、Thunderboltの機能を制限するようにアドバイスしました.