Новая уязвимость Thunderbolt может позволить хакерам обойти защиту ноутбука и получить доступ к его файлам — независимо от вашего пароля — в считанные минуты, объявили исследователи. Названный Thunderspy, эксплойт можно использовать на компьютерах с зашифрованными дисками, хотя он требует физического доступа к ноутбуку, и Intel заявляет, что последние операционные системы, включая Windows, macOS и Linux, были исправлены против взлома.
Мы не первый раз видим, как Тандерболт обвиняют в проблемах безопасности. В прошлом году был обнаружен еще один эксплойт, известный как Thunderclap, который мог позволить вредоносным аксессуарам USB-C или DisplayPort скомпрометировать компьютер.
Эксплойт, на который опирается Тандерспи , был обнаружен Бьёрном Райтенбергом, исследователем из Технологического университета Эйндховена. «Thunderspy — это скрытность, а это означает, что вы не можете найти никаких следов атаки», — объясняет он. «Это не требует вашего участия, т. Е. Нет фишинг-ссылки или вредоносного аппаратного обеспечения, которым злоумышленник обманывает вас. Thunderspy работает даже в том случае, если вы следуете передовым методам обеспечения безопасности, блокируя или приостанавливая работу компьютера при кратковременном уходе, и если системный администратор настроил устройство с помощью безопасной загрузки, надежных паролей BIOS и учетной записи операционной системы и включил полное шифрование диска ».
Это не так просто, как подключить устройство Thunderbolt 3 и получить мгновенный доступ. Он работает путем создания произвольных идентификаторов устройств Thunderbolt, которые обычно создаются для подлинных аксессуаров, когда они подключены, и клонирования авторизованных пользователем устройств Thunderbolt. Для этого хакеру потребуется физический доступ к целевому ПК, а также время и возможность фактически открыть его и подключить специально сконструированное аппаратное обеспечение.
Тем не менее, достаточно предположить, что все системы, оборудованные Thunderbolt, поставленные в период между 2011 и 2020 годами, уязвимы, говорит Райтенберг. Он выпустил инструмент, известный как Spycheck, чтобы определить, открыты ли системы для взлома.
Будет ли установлен ваш ПК, Mac или Linux, зависит от того, какая версия программного обеспечения на нем установлена. В ответе от Intel производитель чипов указал на изменения, внесенные в операционные системы в прошлом году.
«В 2019 году основные операционные системы внедрили защиту прямого доступа к памяти (DMA) для защиты от атак, подобных этим», — пишет Джерри Брайант, директор по коммуникациям для обеспечения безопасности и защиты продуктов Intel. «Это включает в себя Windows (Windows 10 1803 RS4 и более поздние версии), Linux (ядро 5.x и более поздние версии) и MacOS (MacOS 10.12.4 и более поздние версии). Исследователи не продемонстрировали успешных атак DMA на системы с включенными митигациями ».
По словам Райтенберга, для систем Windows 10, приобретенных до 2019 года, не существует способа избежать использования Thunderspy. Те, которые были приобретены в 2019 году или после этой даты, могут иметь поддержку Kernal DMA, которую обсуждает Intel. То же самое относится к машинам Linux.
Что касается macOS, согласно заявлению Apple, применяются только определенные аспекты Thunderspy. «Некоторые из перечисленных вами аппаратных функций безопасности доступны только при использовании MacOS», — сообщила компания Ruytenberg. «Если пользователи обеспокоены какими-либо проблемами в вашем документе, мы рекомендуем им использовать macOS».
Без комплексного или относительно простого исправления общим советом является предостережение относительно того, что вы подключаете к своей системе с ударом молнии и когда оставляете ее без присмотра, даже если она заблокирована. Для большинства этот практический взлом не будет особенно острой проблемой, но те, кто особенно подвержен риску, могут захотеть полностью отключить Thunderbolt в UEFI (BIOS), предлагается.
