Las vulnerabilidades de Thunderbolt podrían amenazar a millones …


Los atacantes con acceso físico a máquinas específicas podrían explotar estos defectos para acceder y copiar datos en minutos, dicen los investigadores.

Los investigadores de seguridad han descubierto vulnerabilidades de Thunderbolt que podrían dejar millones de computadoras expuestas a atacantes que tienen las herramientas de components adecuadas y unos minutos con la máquina. El ataque «Thunderspy» afecta a los dispositivos Home windows y Linux fabricados antes de 2019.

Björn Ruytenberg, investigador de la Universidad Tecnológica de Eindhoven, dice que el equipo encontró siete vulnerabilidades en el diseño del puerto Thunderbolt de Intel y creó nueve escenarios de ataque en los que alguien podía evitar las defensas y leer y copiar datos en una máquina objetivo. Esta táctica es efectiva contra una computadora que tiene un disco duro encriptado y está bloqueado o configurado para dormir.

Un atacante necesitaría acceso físico a un sistema Home windows o Linux habilitado para Thunderbolt, un destornillador y algunas herramientas disponibles para llevar esto a cabo. Aun así, el ataque es sigiloso, lo que significa que una víctima no notará ningún rastro de actividad y no requiere ninguna interacción del usuario.

«Thunderspy funciona incluso si sigue las mejores prácticas de seguridad al bloquear o suspender su computadora al salir brevemente, y si el administrador de su sistema ha configurado el dispositivo con arranque seguro, contraseñas seguras de BIOS y sistema operativo, y ha habilitado el cifrado de disco completo», Ruytenberg explica en una publicación de web site sobre los hallazgos. «Todo lo que necesita el atacante es 5 minutos solo con la computadora, un destornillador y un components fácilmente portátil».

Este no es el primer problema de seguridad relacionado con la tecnología Thunderbolt, lo que ha generado algunas preocupaciones desde que se introdujo en 2011. Thunderbolt afirmó acelerar la velocidad de transferencia de datos a herramientas externas, lo que hizo con el Acceso directo a memoria (DMA) habilitado Sistema de E / S. En este tipo de ataque de «maid evil», Ruytenberg dice, Thunderbolt ha demostrado ser un «punto de entrada feasible para robar datos de unidades cifradas y leer y escribir toda la memoria del sistema».

A principios de 2019, un grupo de vulnerabilidades conocido como Thunderclap demostró cómo conectar un dispositivo periférico malicioso a un puerto Thunderbolt podría comprometer la seguridad de una máquina objetivo. Un atacante podría explotar las fallas para eludir las medidas de seguridad y ejecutar código arbitrario al más alto nivel de privilegio. Después de Thunderclap, Intel presentó los niveles de seguridad, una arquitectura diseñada para permitir a los usuarios autorizar solo dispositivos Thunderbolt de confianza.

A diferencia de Thunderclap, los ataques de Thunderspy rompen tanto el hardware de Thunderbolt como la seguridad del protocolo, explica Ruyterberg. Utilizando el modelo de amenaza de «doncella malvada», en el que el atacante tiene acceso físico, así como diversos niveles de seguridad, los investigadores crearon identidades arbitrarias de dispositivos Thunderbolt, clonaron dispositivos Thunderbolt autorizados por el usuario y obtuvieron conectividad PCIe para realizar ataques DMA. Pudieron desactivar por completo la seguridad de Thunderbolt, señala. Los ataques de Thunderspy supuestamente rompen todos los reclamos de seguridad principales para Thunderbolt 1, 2 y 3.

Todos los sistemas equipados con Thunderbolt enviados entre 2011-2020 están expuestos sin embargo, algunos sistemas son solo parcialmente vulnerables. Los defectos no se pueden solucionar con el software package, agrega. Afectarán estándares futuros como el Thunderbolt 4 y USB 4, y requieren un rediseño de silicio.

Los dispositivos que están al menos parcialmente protegidos incluyen aquellos fabricados con protecciones Kernel DMA, una medida de seguridad creada por Intel después de que se revelaran los defectos de Thunderclap. Ruytenberg señala que la protección DMA de Kernel mitiga algunas, pero no todas, las vulnerabilidades de Thunderspy. Sin embargo, como Wired Señala, Kernel DMA no está presente en máquinas fabricadas antes de 2019 y todavía no es el estándar ahora. Los dispositivos que ejecutan macOS se ven parcialmente afectados por Thunderspy, explica Ruytenberg en un informe técnico. redacción de las vulnerabilidades.

Ruyterberg compartió sus hallazgos con Intel en febrero. Intel confirmó las vulnerabilidades y hoy publicó un entrada en el site con información adicional Aconseja seguir las prácticas de seguridad estándar, incluido el uso de periféricos confiables y el bloqueo del acceso físico no autorizado.

Intel también señala que los principales sistemas operativos implementaron la protección Kernel DMA en 2019. Estos incluyen Windows (Windows 10 1803 RS4 y posterior), Linus (kernel 5.xy posterior) y macOS (macOS 10.12.4 y posterior). Dice que los investigadores no demostraron ataques exitosos de DMA contra sistemas con estas protecciones habilitadas. Aún así, Microsoft señala que sus propias protecciones no bloquean los ataques DMA a través de 1394 / FireWire, PCMCIA, CardBus y ExpressCard.

¿Deberías estar preocupado?

Si bien es cierto que millones de dispositivos podrían verse afectados por estas vulnerabilidades, los observadores de la industria dicen que las posibilidades de explotación son escasas. «Sobre el alcance de las amenazas potenciales, esta es relativamente menor», dice Jack Gold, fundador y analista principal de J.Gold Associates. Un atacante necesitaría acceso a la máquina de destino y conectarse al puerto, lo que lo convierte en un esfuerzo muy específico.

«La mayoría de los virus se propagan por correo electrónico, ataques de phishing, cosas de esa naturaleza», continúa. «Esto es algo difícil de difundir». No es atractivo para un atacante que espera un alto valor y poco trabajo. Hay muchos otros exploits y métodos de ataque disponibles para los cibercriminales que buscan grandes cantidades de datos y ganancias financieras. Para la mayoría, este nivel de planificación no valdría la pena.

Dicho esto, Thunderspy podría resultar útil para un adversario que sabe lo que persiguen y a quién deben apuntar. «Es difícil ver dónde hay un beneficio real para las personas que hacen esto a menos que sepa que hay una máquina que tiene la información que necesita … alguien que tiene información valiosa específica (a la que desea acceder)», explica Gold. Para los CEO, CFO y otros objetivos de alto valor, una solución podría ser una actualización a un dispositivo con protección Kernel DMA en su lugar, o simplemente podrían vigilar de cerca sus máquinas.

Sin embargo, aquellos cuyos dispositivos se pierden o son robados, pueden tener un mayor motivo de preocupación. Thunderspy puede descifrar computadoras portátiles protegidas con contraseña, lo que podría poner en riesgo una gran cantidad de datos confidenciales si caen en las manos equivocadas.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para eso «realmente mal día «en ciberseguridad. Haga clic para más información y para registrarse.

Kelly Sheridan es la Editora de particular de Dark Reading, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que informó anteriormente para InformationWeek, donde cubrió Microsoft, y Insurance policy & Technologies, donde cubrió asuntos financieros … Ver biografía completa

Lectura recomendada:

Más concepts





Enlace a la noticia primary