Какво трябва да знаете за Thunderspy: Windows 10 уязвимост, потвърдена от Microsoft и Intel
На теория, уязвимостта засяга милиони потребители. На практика – тя е инструмент за таргетирани атаки с ограничен обхват, но със сериозни последици
Последен ъпдейт на 20 май 2020 в 09:42 ч.
Първо Intel, а в последствие и Microsoft, потвърди уязвимост в Windows 10, която позволява кражбата на информация от заключен или дори поставен в режим Sleep/Hibernate лаптоп. Събрахме за вас най-важните аспекти на уязвимостта, която за сега е BWAIN и няма официално издадено CVE – Thunderspy:
- Засегнати са всички устройства, които разполагат с Thunderbolt порт, произведени от Intel след 2011 г. Устройствата произведени от 2019 насам са с добавена Kernel DMA защита, което ги прави частично уязвими.
- Уязвимостта позволява директен достъп до оперативната памет (RAM) и съхраняваните в нея данни, включително криптиращи ключове и пароли;
- Понеже RAM е енерго-зависима, пълното изключване на машината (shutdown) неутрализира този вектор за атака;
- Времето за атака е относително кратко – около 5 мин;
- За да се възползват от нея, хакерите имат нужда от физически достъп до машината и инвестиция в инструменти на стойност няколкостотин USD;
- Експлоатирането на Thunderspy не оставя следи – т.е. остава неоткриваемо за жертвите.
Откривателя ѝ Björn Ruytenberg е направил видео демонстрация Proof-of-concept (PoC):
Във видеото той демонтира долния капак на лаптоп и прикачва сонда към чипа отговарящ за Thunderbolt интерфейса. По този начин той презаписва фабричният firmware и инжектира своят зловреден код, което му дават пълен достъп. Целият процес отнема броени минути.
Уязвимостта се корени в това, че Windows не проверява интегритета (цялостта) на firmware софтуера след първоначалното му зареждане и стартиране.
„Дори и да следвате най-добрите практики за сигурност, като заключвате компютъра си, когато заминавате за кратко“, казва той, „или ако вашият системен администратор е настроил устройството със Secure Boot, силни пароли за BIOS и акаунт за операционна система, и е активирал пълно криптиране на диска , всичко нужно на нападателя е пет минути насаме с компютъра, отвертка и някои лесно преносими инструменти.“
Целенасочена атака
Трябва ли да се притеснявате?
Краткият отговор е: Не.
Дългият: Рискът съществува, но подобен тип атаки изискват значителен ресурс и подготовка.
Експлоатирането на тази уязвимост най – вероятно ще е в арсенала за т.нар. таргетирани атаки (APT) – т.е. насочени срещу определена цел (компания или правителство), а не в масова заплаха, каквато са например криптовирусите.
История на уязвимостите
Това не е първият проблем, свързан със сигурността на технологията Thunderbolt на Intel, която разчита на директен достъп до паметта на компютъра, за да предложи по-бърза скорост за пренос на данни.
През 2019 г. изследователи по сигурността разкриха уязвимост на Thunderbolt, наречена „Thunderclap“, която позволява компрометиране устройства през USB-C или DisplayPort интерфейси.
Междувременно от Intel заявиха, че работят по отстраняване на проблема. „Като част от обещанието е, че Intel ще продължи да подобрява сигурността на технологията Thunderbolt и ние благодарим на изследователите от университета в Айндховен, че ни докладваха за този пропуск.“