Атака Thunderspy затрагивает миллионы ПК, выпущенных до 2019 года.
Специалист Технического университета Эйндховена в Нидерландах продемонстрировал новый метод атаки на компьютеры на базе Windows или Linux с поддержкой порта Thunderbolt, позволяющий взломать устройства менее чем за пять минут.
С помощью новой техники, получившей название Thunderspy, возможно обойти экран авторизации (и даже шифрование жесткого диска) на заблокированных или находящихся в режиме сна компьютерах, изменить настройки безопасности и получить доступ к данным на устройстве. Хотя в большинстве случаев для эксплуатации уязвимости потребуется вскрыть корпус ПК, атака не оставляет следов и занимает всего несколько минут, пояснил автор метода Бьорн Руйтенберг (Björn Ruytenberg).
Новый метод относится к типу атак известных как «evil maid» («злая горничная»), в которых злоумышленник, имеющий физический доступ к ПК, может обойти локальную аутентификацию. По словам Руйтенберга, пока единственным способом защититься от атаки Thunderspy является отключение порта Thunderbolt.
После выхода доклада об атаке Thunderclap, позволяющей украсть информацию непосредственно из памяти ОС с помощью периферийных устройств, компания Intel представила механизм безопасности Kernel DMA Protection, который блокирует подключенные устройства Thunderbolt 3 и не дает им доступа к функции Direct Memory Access до момента, пока не будут выполнен определенный набор процедур.
Данная функция предотвращает атаку Thunderspy, однако проблема заключается в том, что этот механизм отсутствует в ПК, выпущенных до 2019 года, поясняет исследователь. Более того, многие произведенные до 2019 года периферийные устройства Thunderbolt не поддерживают данную технологию.
Специалисты изучили несколько моделей ПК Dell, HP и Lenovo и обнаружили, что в ПК Dell отсутствует функция Kernel DMA Protection (в том числе в устройствах, выпущенных после 2019 года), а в случае HP и Lenovo только несколько моделей используют технологию. Уязвимость не затрагивает компьютеры на базе Apple macOS.
По словам представителей HP, в «большинстве коммерческих ПК мобильных рабочих станций HP с поддержкой Sure Start Gen5 и выше» реализована защита от атак Thunderspy. В Lenovo сообщили, что изучают ситуацию.
Thunderbolt — технология периферийного подключения, разработанная Intel совместно с Apple, которая позволяет передавать данные, видео, аудио и электроэнергию через один порт.
HP Sure Start — технология, разработанная компанией HP (Hewlett-Packard) для защиты BIOS компьютера. Отвечает за безопасность BIOS и включает функцию Dynamic Protection, которая проверяет BIOS не только при изменении состояния устройства, но также в течение дня с регулярными интервалами.