Какво трябва да знаете за Thunderspy: Windows 10 уязвимост, потвърдена от Microsoft и Intel

На теория, уязвимостта засяга милиони потребители. На практика – тя е инструмент за таргетирани атаки с ограничен обхват, но със сериозни последици

Мария Каймаканова

19/05/2020, 9:31

Последен ъпдейт на 20 май 2020 в 09:42 ч.

Първо Intel, а в последствие и Microsoft, потвърди уязвимост в Windows 10, която позволява кражбата на информация от заключен или дори поставен в режим Sleep/Hibernate лаптоп. Събрахме за вас най-важните аспекти на уязвимостта, която за сега е BWAIN и няма официално издадено CVE – Thunderspy:

Засегнати са всички устройства, които разполагат с Thunderbolt порт, произведени от Intel след 2011 г. Устройствата произведени от 2019 насам са с добавена Kernel DMA защита, което ги прави частично уязвими.
Уязвимостта позволява директен достъп до оперативната памет (RAM) и съхраняваните в нея данни, включително криптиращи ключове и пароли;
Понеже RAM е енерго-зависима, пълното изключване на машината (shutdown) неутрализира този вектор за атака;
Времето за атака е относително кратко – около 5 мин;
За да се възползват от нея, хакерите имат нужда от физически достъп до машината и инвестиция в инструменти на стойност няколкостотин USD;
Експлоатирането на Thunderspy не оставя следи – т.е. остава неоткриваемо за жертвите.

Откривателя ѝ Björn Ruytenberg е направил видео демонстрация Proof-of-concept (PoC):

Във видеото той демонтира долния капак на лаптоп и прикачва сонда към чипа отговарящ за Thunderbolt интерфейса. По този начин той презаписва фабричният firmware и инжектира своят зловреден код, което му дават пълен достъп. Целият процес отнема броени минути.
Уязвимостта се корени в това, че Windows не проверява интегритета (цялостта) на firmware софтуера след първоначалното му зареждане и стартиране.

„Дори и да следвате най-добрите практики за сигурност, като заключвате компютъра си, когато заминавате за кратко“, казва той, „или ако вашият системен администратор е настроил устройството със Secure Boot, силни пароли за BIOS и акаунт за операционна система, и е активирал пълно криптиране на диска , всичко нужно на нападателя е пет минути насаме с компютъра, отвертка и някои лесно преносими инструменти.“

Целенасочена атака

Трябва ли да се притеснявате?
Краткият отговор е: Не.
Дългият: Рискът съществува, но подобен тип атаки изискват значителен ресурс и подготовка.
Експлоатирането на тази уязвимост най – вероятно ще е в арсенала за т.нар. таргетирани атаки (APT) – т.е. насочени срещу определена цел (компания или правителство), а не в масова заплаха, каквато са например криптовирусите.

История на уязвимостите

Това не е първият проблем, свързан със сигурността на технологията Thunderbolt на Intel, която разчита на директен достъп до паметта на компютъра, за да предложи по-бърза скорост за пренос на данни.

През 2019 г. изследователи по сигурността разкриха уязвимост на Thunderbolt, наречена „Thunderclap“, която позволява компрометиране устройства през USB-C или DisplayPort интерфейси.

Междувременно от Intel заявиха, че работят по отстраняване на проблема. „Като част от обещанието е, че Intel ще продължи да подобрява сигурността на технологията Thunderbolt и ние благодарим на изследователите от университета в Айндховен, че ни докладваха за този пропуск.“