Um perigoso bug do Thunderbolt foi descoberto por um coletivo criminoso e explorado no recente ataque do Thunderspy. É relatado que afeta os computadores Windows e Linux fabricados antes 2019. Os resultados de uma invasão bem-sucedida do Thunderbolt podem resultar no desvio de um logon de um dispositivo adormecido ou bloqueado, resultando em acesso não autorizado.
Os ataques de trovão: Como o Thunderbolt é explorado para invadir seus computadores?
Neste domingo, um pesquisador de segurança da Universidade Holandesa de Tecnologia de Eindhoven revelou informações sobre um novo método de hacking que pode ser usado para obter acesso a computadores equipados com Thunderbolt, denominando-o Ataque de trovão. De acordo com o relatório publicado, isso permite que usuários mal-intencionados obtenham acesso não autorizado a esses dispositivos. O desvio de segurança é compatível com dispositivos que foram fabricados antes 2019.
A exploração pode permitir que os criminosos invadam dispositivos seguros: a falha do Thunderbspy pode ignorar as telas de login de computadores adormecidos e bloqueados, mesmo quando a criptografia de disco rígido está ativada! No centro do ataque Thunderspy está o requisito dos hackers de ter acesso físico aos computadores de destino. No entanto, após a execução bem-sucedida da intrusão os criminosos praticamente não deixam vestígios da exploração.
Tudo o que os hackers precisam fazer é seguir estas etapas:
- Manipulação Física — Os hackers precisarão obter acesso aos dispositivos de destino para acessar o controlador Thunderbolt. Para isso, eles precisarão anexar um programador SPI especialmente configurado.
- Reconfiguraçao — Usando um clipe SOP8 e o dispositivo programador SPI, uma operação de reconfiguração será executada.
- Exploração do raio — O ataque real do Thunderspy é iniciado reprogramando o controlador, o que desativará as configurações de segurança do computador.
A falha encontrada nas portas e no controlador Thunderbolt está no firmware em que o estado de segurança é controlado. Isso permite que hackers com acesso às máquinas editem esses valores e desativem todas as precauções de segurança. Para alavancar a infiltração de Thunderspy, os criminosos exigem não apenas acesso às máquinas, mas também equipamento — o custo total totaliza cerca de $400. O pesquisador também sugere que um coletivo criminoso mais bem financiado também pode levar à criação de um único dispositivo. O tempo total necessário para alavancar o hack Thunderbolt leva cerca de 5 minutos, com um aparelho dedicado, isso pode ser ainda mais rápido.
Consequências de uma exploração de trovão: Quanto é perigoso?
A estratégia usada pelo pesquisador gira em torno do fato de que o controlador contém código contendo níveis de segurança e valores de configuração relacionados. UMA variante de Thunderspy é quando os hackers têm acesso ao dispositivo Thunderbolt a partir do qual é possível copiar um “identificador confiável” — quando conectado ao computador de destino, o gadget inicia automaticamente o firmware e o transmite ao sistema operacional. Os criminosos podem usar suas ferramentas para fabricar esse conteúdo em um dispositivo que eles possuem, enganando os computadores.
Invadir dispositivos Thunderbolt como esse pode ser efetivamente usado em dois cenários de malware:
- forte> Infiltração de computadores — O ataque Thunderspy é compatível com os sistemas Microsoft Windows e Linux que foram fabricados antes 2019. A razão para isso é que, nos controladores de firmware, os controladores de segurança armazenam os valores dessa maneira. Essa exploração pode interromper as solicitações de login, mesmo em computadores colocados em “dormir”. A pesquisa mostra que isso é possível mesmo quando a criptografia está ativada.
- sabotar — Outro cenário perigoso que pode ser explorado em uma situação do mundo real é quando a sabotagem intencional é realizada. Uma quadrilha criminosa pode usar um dispositivo especialmente construído que pode assumir a forma de uma unidade flash USB e conectá-los aos dispositivos de destino. Usando código de malware pré-programado, eles podem não apenas invadir os computadores, mas também para executar código arbitrário.
No ano passado, a Intel lançou um mecanismo de segurança que pode proteger contra Thunderspy chamado Proteção de acesso direto à memória do kernel que não é implementado em configurações mais antigas. Esta é a razão pela qual os computadores fabricados antes desse ano são afetados.
Como se Proteger do Ataque Trovão?
Uma proposição de segurança para proteger contra esses ataques por proibindo o acesso a dispositivos não confiáveis, uma medida alternativa é completamente desativar os recursos Thunderbolt. Se a funcionalidade estendida estiver desativada, o Thunderbolt funcionará apenas como uma porta de transferência e exibição de arquivos. O patch da Intel, que conta com a introdução da Proteção de acesso direto à memória do kernel, pode bloquear efetivamente o mecanismo de exploração Thunderspy.
Uma intrusão relacionada foi descoberta em fevereiro 2019 chamado Thunderclap. Foi descoberto por uma equipe de pesquisadores semelhante ao Thunderspy. Um modelo de prova de conceito demonstra que um dispositivo de malware pode acessar as configurações do sistema e manipular os dispositivos de destino. Isso também afeta permite que os principais sistemas operacionais sejam afetados: Microsoft Windows, Linux MacOS. Mais uma vez, os pesquisadores de segurança aconselharam que a funcionalidade Thunderbolt fosse limitada até que a proteção de acesso direto à memória do kernel fosse implementada.