Maior exploração de segurança Thunderbolt ‘Thunderpsy’ permite que hackers roubem dados de …

Uma grande falha de segurança foi descoberta no Thunderbolt que afeta todos os PCs que apresentam a porta. Isso inclui Windows, Linux e até Macs. A falha permite que um hacker acesse dados em uma máquina bloqueada e mesmo se sua unidade estiver criptografada.

A vulnerabilidade de segurança ‘Thunderspy’ consiste em 7 falhas de segurança que podem ser usadas em nove cenários realistas. Eles foram descobertos pelo pesquisador Björn Ruytenberg, da Universidade de Tecnologia de Eindhoven. Um hacker com o conjunto certo de ferramentas e acesso físico a uma máquina com uma porta Thunderbolt pode ler e copiar todo o conteúdo de sua unidade, mesmo quando ela estiver criptografada e o PC bloqueado. O hacker precisa de apenas 5 minutos com a máquina, embora ele precise abri-la usando uma chave de fenda para conectar um dispositivo Thunderbolt malicioso.

Abaixo estão as sete vulnerabilidades que foram descobertas e que afetaram todas as versões do Thunderbolt:

  1. Esquemas inadequados de verificação de firmware
  2. Esquema de autenticação de dispositivo fraco
  3. Uso de metadados de dispositivo não autenticados
  4. Ataque de downgrade usando compatibilidade com versões anteriores
  5. Uso de configurações de controlador não autenticadas
  6. Deficiências na interface flash SPI
  7. Nenhuma segurança Thunderbolt no Boot Camp

Essas vulnerabilidades levam a nove cenários de exploração prática. Em um modelo de ameaça de empregada doméstica maligna e níveis de segurança variados, demonstramos a capacidade de criar identidades arbitrárias de dispositivos Thunderbolt, clonar dispositivos Thunderbolt autorizados pelo usuário e finalmente obter conectividade PCIe para realizar ataques de DMA. Além disso, mostramos a substituição não autenticada das configurações do nível de segurança, incluindo a capacidade de desativar completamente a segurança do Thunderbolt e a restauração da conectividade do Thunderbolt se o sistema estiver restrito à passagem exclusiva por USB e / ou DisplayPort. Concluímos demonstrando a capacidade de desativar permanentemente a segurança do Thunderbolt e bloquear todas as futuras atualizações de firmware.

Como as falhas de segurança estão presentes no próprio controlador Thunderbolt, ele não pode ser corrigido por meio de uma atualização de software. Eles também estão presentes no próximo padrão USB4, baseado no Thunderbolt 3.

Todos os Macs com uma porta Thunderbolt lançados desde 2011 também são afetados pela exploração. No entanto, o macOS é afetado apenas parcialmente pelo Thunderspy. Observe que há uma diferença entre as portas USB-C e Thunderbolt. O MacBook Pro de 16 polegadas e os produtos de gama alta do MacBook Pro de 13 polegadas vêm com quatro portas Thunderbolt, enquanto apenas o MacBook Pro de 13 polegadas vem com duas portas Thunderbolt e duas USB-C. A Apple também foi informada sobre as vulnerabilidades de segurança e a empresa emitiu a seguinte declaração sobre isso:

Alguns dos recursos de segurança de hardware descritos apenas estão disponíveis quando os usuários executam o macOS. Se os usuários estiverem preocupados com algum dos problemas do seu artigo, recomendamos que eles usem o macOS. ”

Você pode ler mais sobre o Thunderspy aqui.

0 Shares