+33 голоса |
Большинство персональных компьютеров, оснащённых портом Thunderbolt, могут стать жертвами хакеров, имеющих физический доступ к машине, даже если её экран заблокирован, а жёсткий диск — зашифрован.
Методика взлома, получившая название Thunderspy, была обнародована на выходных. Она работает для ПК под управлением Windows и Linux и даже представляет некоторую опасность для систем с масOS производства Apple.
В Thunderspy для взлома используются семь различных уязвимостей портов Thunderbolt. Хакеру потребуется оборудование стоимостью пару сотен долларов, в том числе программатор прошивки последовательного интерфейса SPI, с помощью которого отключаются функции безопасности чипа-контроллера Thunderbolt.
Как сообщил первооткрыватель нового эксплойта Thunderbolt, Бьёрн Рютенберг (Bjorn Ruytenberg), контроллер портов этого интерфейса проверяет подлинность прошивки SPI, но механизм такого контроля несовершенен, оставляя лазейку для манипуляций кодом.
«В наших экспериментах с помощью программатора SPI мы записали произвольную неподписанную прошивку непосредственно во флэш-память SPI», — добавил он. На это ушло не более пяти минут, за которые с ПК сняли крышку, и к порту контроллера Thunderbolt подключили программатор.
Успеху атаки не помешало то обстоятельство, что экран ПК был заблокирован, жёсткий диск — зашифрован, а порт Thunderbolt — отключен на системном уровне.
Разработавшая стандарт Thunderbolt корпорация Intel в 2019 году выпустила технологию Kernel DMA Protection, которая обеспечивает защиту от Thunderspy. «Исследователям не удалось продемонстрировать успешных атак DMA на системы, где были активированы эти меры предосторожности», — говорится в воскресном заявлении Intel.
Тем не менее, остаётся много компьютеров, в которых Kernel DMA Protection отсутствует. Низкоуровневая природа уязвимостей Thunderspy не позволяет устранить их с помощью обычных сетевых апгрейдов, то есть, основная защита — не давать посторонним копаться внутри вашего компьютера.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
+33 голоса |