Los defectos de Thunderbolt abren millones de Pc al pirateo físico


Un nuevo método de ataque permite a los malos actores acceder a los datos en una computadora bloqueada a través de un malvado ataque de mucama en 5 minutos

Millones de computadoras con puertos Thunderbolt de Intel están abiertos a intentos de piratería práctica debido a vulnerabilidades en la interfaz de hardware, según investigación publicado por el investigador de seguridad de la Universidad Tecnológica de Eindhoven en los Países Bajos Björn Ruytenberg. Apodado Thunderspy, el método de ataque afecta a las máquinas equipadas con Thunderbolt fabricadas entre 2011 y 2020 y es una preocupación con las máquinas que ejecutan cualquiera de los tres principales sistemas operativos: Windows, Linux y, en menor medida, macOS.

Para arrebatar datos de una Laptop a través de un llamado malvado sirvienta, todo lo que un mal actor necesitaría es unos minutos, acceso físico al dispositivo. y algunos equipos listos para usar. «Todo lo que la criada malvada necesita hacer es desenroscar la placa posterior, conectar un dispositivo momentáneamente, reprogramar el firmware, volver a colocar la placa posterior y la criada malvada tiene acceso completo a la computadora portátil», dijo Ruytenberg Cableado, agregando que todo el proceso podría gestionarse en cinco minutos. Se encontró un full de 7 vulnerabilidades que afectan a las versiones 1 a 3 de Thunderbolt y todas se detallan en el trabajo de investigación.

El método de ataque funciona incluso si sigue las mejores prácticas de seguridad cibernética, como bloquear la computadora al salir por un momento y utilizando contraseñas seguras y medidas de seguridad como cifrado de disco completo. Sobre todo, el ataque no deja huellas.

Como prueba de concepto, Ruytenberg desarrolló un kit de herramientas de parcheo de firmware llamado Thunderbolt Controller Firmware Patcher (tcfp), que le permite desactivar la seguridad de Thunderbolt sin acceder al BIOS o al sistema operativo de la máquina. Dado que todo esto tiene lugar de manera encubierta y los cambios no se reflejan en el BIOS, la víctima sigue siendo la más inteligente.

Ruytenberg también desarrolló otra herramienta, llamada SPIblock. Utilizándolo junto con tfcp, logró desactivar la seguridad de Thunderbolt para siempre y bloquear todas las futuras actualizaciones de firmware, todo el tiempo sin ser detectado.

La seguridad de Thunderbolt también estuvo en el centro de atención el año pasado, cuando un equipo de investigadores pudo descubrir una colección de vulnerabilidades que nombraron Tronido. Afortunadamente, esos podrían ser mitigados por las opciones de seguridad, llamadas «niveles de seguridad», que ya estaban disponibles en ese momento.

No tanto con Thunderspy, ya que este método de ataque evita estas configuraciones de seguridad. Por otro lado, lo que lo protege es la protección de Kernel Direct Memory Accessibility (DMA) que se introdujo en 2019, como afirma Intel en su respuesta al informe publicado.

Ruytenberg concluye que una actualización no será suficiente para solucionar el problema: «Las vulnerabilidades de Thunderspy no pueden repararse en el application, afectan los estándares futuros como USB 4 y Thunderbolt 4, y requerirán un rediseño de silicio».

Si le preocupa que su computadora sea susceptible a un ataque, puede usar Spycheck, una herramienta desarrollada específicamente por el investigador para buscar vulnerabilidades de Thunderspy. Para protegerse, no debe dejar su computadora desatendida mientras está encendida, incluso si bloqueó la pantalla Lo mismo se aplica a sus periféricos Thunderbolt. Ruytenberg también recomienda deshabilitar los puertos Thunderbolt por completo en el BIOS, lo que los haría inoperables, pero debería mantenerlo a salvo.








Enlace a la noticia authentic