Thunderspy: újabb rés a Thunderbolt pajzsán

Rendkívül súlyos sebezhetőségre derült fény a Thunderbolt szabványban, amelyet kihasználva támadók akár a lezárt eszközök titkosított meghajtóihoz is öt perc alatt hozzáférést szerezhetnek. A Thunderspy névre keresztelt sérülékenységet az Eindhoveni Műszaki Egyetem kutatója, Björn Ruytenberg fedezte fel.

Ahogy a szakértő kapcsolódó jelentésében rámutat, a biztonsági rés kiaknázásához ugyan fizikai hozzáférésre is szükség van a megcélzott készülékhez, ha ez adott, nem marad akadály a támadó útjában. A Thunderspy akkor is veszélyt jelent, ha az adott számítógép tulajdonosa a betartja az ajánlott biztonsági gyakorlatokat, illetve az eszközön aktív a Secure Boot, erős BIOS és operációs rendszer jelszavakat használ, illetve a teljes lemeztitkosítás is be van kapcsolva. A támadónak mindössze öt percre, és néhány könnyen beszerezhető hardverre van szüksége a sebezhetőség kihasználásához - igaz ahhoz fel kell nyitnia a készülékházat, a sikeres támadás ugyanakkor nem hagy semmilyen nyomot maga után.

PÁR SZÁZ DOLLÁRBÓL BESZEREZHETŐ A SZÜKSÉGES HARDVER

A sérülékenység a PCIe Thunderbolt vezérlőben gyökerezik, amely közvetlen memória-eléréssel rendelkezik, így a támadók a csatlakoztatott hardverekkel maguk is hozzáférést szerezhetnek a rendszermemóriához. Ruytenberg szerint az Intel által a Thunderbolt 3-mal bevezetett Security Levels védelem is kijátszható a biztonsági résen keresztül, amely titkosított azonosítást hivatott biztosítani a jóváhagyott PCIe perifériák csatlakoztatása során. A hiba kihasználásánál ugyanis a támadók a Thunderbolt porthoz tartozó vezérlőchip firmware-ét módosítják egy SOP8 chippel szerelt SPI programozóeszközzel, bármilyen eszköznek hozzáférést biztosítva az adott számítógéphez. A készülékház felnyitását követően nagyjából két percre van szükség az eredeti firmware átírásához.

A művelethez szükséges hardverek akár 400 dollárért beszerezhetők - nagyjából 10 ezer dollárból pedig egy kisméretű, dedikált eszköz is készíthető, kifejezetten a biztonsági rés kihasználására - ahogy Ruytenberg fogalmaz, a "hárombetűs" ügynökségek gond nélkül miniatürizálhatják a megoldást. A hiba a Tunderspy-t felfedező biztonsági szakértő szerint minden, 2011 és 2020 között gyártott, Thunderbolt támogatással érkező PC-t érint - Ruytenberg weboldalán egy szoftvert is közzétett, amellyel ellenőrizhető, hogy az adott gép sebezhető-e a frissen felfedezett biztonsági résen keresztül.

Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.

Az Intel blogposztban reagált az értesülésekre, a chipgyártó szerint nem új hibáról van szó, amelyet a nagy operációs rendszerekben már 2019-ben foltoztak, a Kernel DMA (Direct Memory Access) Protection bevezetésével - amelyet egyébként többek között a tavaly nyilvánosságra került, ugyancsak a Thunderbolt szabványt fenyegető Thunderclap sebezhetőség hívott életre. A cég szerint utóbbi védvonallal a Windows 10 1803 RS4, a Linux 5.x, illetve a MacOS 10.12.4 és újabb kiadások is rendelkeznek. Ugyanakkor ahogy a Wired is hangsúlyozza, a funkció a biztonsági kutatók tapasztalatai szerint számos gyártó újabb modelljeiből most is hiányzik. Ruytenberg arról is beszélt, a sebezhetőség csak hardveres változtatásokkal orvosolható - az ráadásul a készülőben lévő USB 4 és Thunderbolt 4 szabványokat is érintheti.

KEVÉS GYÁRTÓ MAGABIZTOS

A Wired több gyártót is megkeresett a sebezhetőség kapcsán, a lapnak a HP arról beszélt, "legtöbb" kereskedelmi PC-je és mobil munkaállomása, melyek támogatják a cég Sure Start Gen5 megoldását, védelmet élvez a közvetlen memória-hozzáférésre építő (DMA) támadások ellen, továbbá a vállalat szerint a piacon egyedül a HP készülékeknél terjed ki ez a védelem a belső PCI kártyákra és Thunderbolt eszközökre is. A Lenovo úgy nyilatkozott, partnereivel együtt vizsgálja a sebezhetőséget, a Dell pedig az Intel nyilatkozatára hivatkozott, illetve azt javasolta ügyfeleinek, hogy tartsák be az ajánlott biztonsági gyakorlatokat.

A kutató szerint a védekezésre a legjobb módszer, ha a felhasználók a BIOS-ban kikapcsolják a Thunderbolt portokat, aktiválják a lemeztitkosítást, továbbá nem hagyják felügyelet nélkül eszközeiket, legfeljebb teljesen kikapcsolt állapotban. Ruytenberg a hibát a nyáron rendezett Black Hat biztonsági konferencián részletesen demonstrálja majd.