Уязвимости в технологии Thunderbolt как новый вектор атак

Компания ESET предупредила о рисках, связанных с выявлением ряда уязвимостей в технологии Thunderbolt, которые известные под названием Thunderspy. Используя их, злоумышленники могут изменить и даже выключить систему защиты интерфейса Thunderbolt на компьютере пользователя.

Как результат, киберпреступники с физическим доступом к определенному устройству способны похитить данные с него, даже в случае использования полнодискового шифрования и блокировки с помощью пароля или пребывания устройства в режиме энергосбережения. Уязвимости Thunderspy были обнаружены в мае 2020 года.

«Хотя об исследовании и стало известно общественности из-за интереса к новому вектору атаки, однако пока мало информации о том, как защититься или даже определить, не стали вы потенциальной жертвой», — отмечает Арье Горецкий, ведущий исследователь ESET.

Стоит отметить, что Thunderbolt — это интерфейс для обеспечения скоростных соединений между компьютерами и периферийными устройствами, такими как внешние накопители RAID, камеры, дисплеи с высоким разрешением и тому подобное.

Технология скоростных соединений Thunderbolt открывает новые возможности для киберпреступников. ESET.

Атаки с использованием Thunderbolt случаются редко, поскольку в основном они являются целенаправленными. «То, что типичный пользователь не является целью этой угрозы, не означает, что каждый находится в безопасности. Для многих соблюдение некоторых рекомендаций, описанных ниже, действительно имеет важное значение», — комментирует исследователь ESET.

Существует два типа атак, нацеленных на безопасность Thunderbolt. Первый вид предполагает копирование информации об устройствах Thunderbolt, которым компьютер уже доверяет. Второй тип связан с отключением безопасности Thunderbolt навсегда с невозможностью повторного включения.

«Атака с использованием копирования похожа на методы воров, которые похитили ключ и сделали копию. После этого они могут использовать скопированный ключ несколько раз для открытия замка. Вторая атака является формой отключения микросхемы. В этом случае окончательно выключается уровень безопасности Thunderbolt и обеспечивается защита от изменений для невозможности их отмены», — объясняет Арье Горецкий.

Обе атаки осуществить непросто, поскольку нужен личный доступ к устройству, а также инструменты для разборки компьютера, присоединение программатора, считывание встроенного программного обеспечения с микросхемы SPI flash ROM, изменение кода и запись обратно на микросхему.

Необходимость физического доступа к компьютеру сужает круг потенциальных жертв к особо важным целям. Жертвами могут стать руководители бизнеса, инженеры, административный персонал или другие сотрудники, если злоумышленник имеет коммерческий мотив, например, действует в целях промышленного шпионажа. В странах с репрессивными режимами целями таких угроз, как Thunderspy, могут быть политики, общественные организации и журналисты.

Рекомендации ESET, которые помогут защитить Thunderbolt от кражи данных с использованием Thunderspy.

«Для защиты от подобных атак предотвратите любой несанкционированный доступ к компьютеру. Также позаботьтесь о защите всех соответствующих интерфейсов и портов, например, USB-C. Кроме этого, важно не ограничиваться физическими мерами безопасности, а обеспечить защиту встроенного и другого программного обеспечения», — рассказывает исследователь ESET.

Кроме этого, специалисты ESET подготовили ряд рекомендаций, которые помогут защититься от кражи данных с использованием Thunderspy.

Обновляйте операционную систему и встроенное программное обеспечение компьютера до актуальных версий. В случае с последним недостаточно ограничиваться только BIOS или UEFI. Также в обновлении нуждается встроенное ПО видеочипов, сетевых интерфейсов, сенсорной панели, контроллеров жидкокристаллических дисплеев. Кроме этого, смартфоны, планшеты, роутеры и модемы имеют собственное встроенное ПО, которое необходимо регулярно обновлять.
Ограничьте использование спящего режима или других гибридных режимов отключения, а лучше полностью выключайте компьютер, когда он не используется. Такие действия могут предотвратить атаки с использованием памяти устройства с помощью Thunderspy.
Используйте полнодисковое шифрование для внутренних накопителей и сменных носителей. Хотя по данным исследований технологию можно обойти, если компьютер заблокирован или находится в спящем режиме, однако полностью выключенное устройство оставалось в безопасности.

В случае покупки нового компьютера подумайте о приобретении устройства без DMA-интерфейсов, таких как порты Thunderbolt, ExpressCard и FireWire. Хотя они часто могут быть выключены при настройке встроенного ПО, злоумышленник с длительным доступом к устройству может попробовать их повторно включить.

Используйте надежное решение для защиты с возможностью сканирования интерфейса UEFI — одно из мест, где хранится информация о безопасности Thunderbolt.