Een gevaarlijke Thunderbolt-bug is ontdekt door een crimineel collectief en wordt uitgebuit in de recente Thunderspy-aanval. Het is naar verluidt van invloed op zowel Windows- als Linux-computers die eerder zijn vervaardigd 2019. De resultaten van een succesvolle Thunderbolt-hack kunnen ertoe leiden dat een login van een slapend of vergrendeld apparaat wordt omzeild, wat resulteert in ongeoorloofde toegang.
The Thunderspy Attacks: Hoe Thunderbolt wordt benut om uw computers te hacken?
Afgelopen zondag onthulde een beveiligingsonderzoeker van de Technische Universiteit Eindhoven in Eindhoven informatie over a nieuwe hackmethode die kan worden gebruikt om toegang te krijgen tot met Thunderbolt uitgeruste computers die het de Thunderspy-aanval. Volgens het gepubliceerde rapport kunnen hierdoor kwaadwillende gebruikers ongeautoriseerde toegang krijgen tot dergelijke apparaten. De beveiligingsomleiding is compatibel met apparaten die eerder zijn vervaardigd 2019.
De exploit kan ervoor zorgen dat de criminelen beveiligde apparaten kunnen doorbreken: de Thunderbspy-fout kan de inlogschermen van slapende en vergrendelde computers omzeilen, zelfs als versleuteling van de harde schijf is ingeschakeld! De kern van de Thunderspy-aanval is de vereiste van de hackers om fysieke toegang te hebben tot de doelcomputers. Maar bij de succesvolle uitvoering van de inbraak de criminelen zullen praktisch geen spoor van de exploit achterlaten.
Het enige dat de hackers hoeven te doen, is deze stappen volgen:
- Fysieke manipulatie — De hackers moeten toegang krijgen tot de doelapparaten om toegang te krijgen tot de Thunderbolt-controller. Hieraan moeten ze een speciaal geconfigureerde SPI-programmeur koppelen.
- Herconfiguratie — Met behulp van een SOP8-clip en het SPI-programmeerapparaat wordt een herconfiguratie uitgevoerd.
- Thunderbolt Exploit — De daadwerkelijke Thunderspy-aanval wordt gestart door de controller opnieuw te programmeren, waardoor de beveiligingsinstellingen van de computer worden uitgeschakeld.
Het probleem met de Thunderbolt-poorten en -controller zit in de firmware waar de beveiligingsstatus wordt gecontroleerd. Hierdoor kunnen hackers met toegang tot de machines deze waarden bewerken en alle veiligheidsmaatregelen uitschakelen. Om gebruik te maken van de Thunderspy-infiltratie hebben de criminelen niet alleen toegang tot de machines nodig, maar ook apparatuur — de totale kosten bedragen ongeveer $400. De onderzoeker suggereert ook dat een beter gefinancierd crimineel collectief ook kan leiden tot de creatie van één apparaat. De totale tijd die nodig is om gebruik te maken van de Thunderbolt-hack duurt ongeveer 5 notulen, met een speciaal apparaat kan dit nog sneller.
Gevolgen van een Thunderspy-uitbuiting: Hoeveel gevaarlijk is het?
De strategie van de onderzoeker draait om het feit dat de controller code bevat die beveiligingsniveaus en gerelateerde configuratiewaarden bevat. Een variant van Thunderspy is wanneer de hackers toegang hebben tot een Thunderbolt-apparaat van waaruit ze een kunnen kopiëren “vertrouwde ID” — wanneer deze is aangesloten op de doelcomputer, start de gadget automatisch de firmware en geeft deze door aan het besturingssysteem. De criminelen kunnen hun tools gebruiken om deze inhoud te fabriceren naar een apparaat dat ze bezitten en zo de computers te misleiden.
Hacking op Thunderbolt-apparaten zoals deze kan effectief worden gebruikt in twee malwarescenario's:
- sterk> Computersinfiltratie — De Thunderspy-aanval is compatibel met zowel Microsoft Windows- als Linux-systemen die eerder zijn vervaardigd 2019. De reden hiervoor is dat de beveiligingscontrollers in hun firmwarecontrollers de waarden op deze manier opslaan. Deze exploit kan aanmeldingsprompts doorbreken, zelfs op computers die zijn geplaatst “slaap”. Uit het onderzoek blijkt dat dit ook mogelijk is als encryptie is ingeschakeld.
- Sabotage — Een ander gevaarlijk scenario dat in een reële situatie kan worden misbruikt, is wanneer opzettelijke sabotage wordt uitgevoerd. Een criminele bende kan een speciaal geconstrueerd apparaat gebruiken dat de vorm kan hebben van een USB-stick en deze op doelapparaten aansluiten. Met voorgeprogrammeerde malwarecode kunnen ze niet alleen inbreken op de computers, maar ook om willekeurige code uit te voeren.
Vorig jaar bracht Intel een beveiligingsmechanisme uit dat bescherming kan bieden tegen Thunderspy Kernel Direct Memory Access Protection die niet is geïmplementeerd in oudere configuraties. Dit is de reden waarom computers die vóór dat jaar zijn vervaardigd, worden getroffen.
Hoe te beschermen tegen de thunderspy-aanval?
Een beveiligingsvoorstel ter bescherming tegen dergelijke aanvallen door toegang tot niet-vertrouwde apparaten weigeren, een alternatieve maatregel is om schakel de Thunderbolt-mogelijkheden helemaal uit. Als de uitgebreide functionaliteit is uitgeschakeld, werkt de Thunderbolt alleen als bestandsoverdracht en weergavepoort. De Intel-patch die vertrouwt op de introductie van de Kernel Direct Memory Access Protection kan het Thunderspy-exploitmechanisme effectief blokkeren.
Een verwante inbraak werd terug ontdekt Februari 2019 genaamd Thunderclap. Het werd ontdekt door een team van onderzoekers dat lijkt op Thunderspy. Een proof-of-concept-model toont aan dat een malwareapparaat toegang heeft tot systeeminstellingen en de doelapparaten kan manipuleren. Dit heeft ook gevolgen voor de invloed van belangrijke besturingssystemen: Microsoft Windows, Linux MacOS. Opnieuw adviseerden de beveiligingsonderzoekers om de Thunderbolt-functionaliteit te beperken totdat de Kernel Direct Memory Access Protection is geïmplementeerd.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: