I difetti di fulmine espongono milioni di PC all'hacking pratico


Paranoici di sicurezza hanno ha avvertito per anni che qualsiasi laptop lasciato solo con un hacker per più di qualche minuto dovrebbe essere considerato compromesso. Ora un ricercatore olandese ha dimostrato come questo tipo di hacking dell'accesso fisico possa essere realizzato in un componente ultra comune: la porta Intel Thunderbolt presente in milioni di PC.

Domenica, il ricercatore dell'Università di Tecnologia di Eindhoven, Björn Ruytenberg ha rivelato i dettagli di un nuovo metodo di attacco che sta chiamando Thunderspy. Su PC Windows o Linux abilitati a Thunderbolt prodotti prima del 2019, la sua tecnica può bypassare la schermata di accesso di un computer inattivo o bloccato, e persino la sua crittografia del disco rigido, per ottenere pieno accesso ai dati del computer. E mentre il suo attacco in molti casi richiede l'apertura di una custodia per laptop di destinazione con un cacciavite, non lascia traccia di intrusioni e può essere rimosso in pochi minuti. Ciò apre una nuova strada a ciò che l'industria della sicurezza chiama un "attacco da cameriera malvagia", la minaccia di qualsiasi hacker che può stare da solo con un computer in una stanza d'albergo. Ruytenberg afferma che non esiste una soluzione software semplice, che disabilita del tutto la porta Thunderbolt.

"Tutto ciò che la cameriera cattiva deve fare è svitare la piastra posteriore, collegare momentaneamente un dispositivo, riprogrammare il firmware, ricollegare la piastra posteriore e la cameriera cattiva ottiene pieno accesso al laptop", afferma Ruytenberg, che ha intenzione di presentare la sua ricerca Thunderspy al Conferenza sulla sicurezza di Black Hat quest'estate o la conferenza virtuale che potrebbe sostituirla. "Tutto questo può essere fatto in meno di cinque minuti."

'Livello di sicurezza' Zero

I ricercatori della sicurezza sono stati a lungo diffidenti nei confronti dell'interfaccia Thunderbolt di Intel come potenziale problema di sicurezza. Offre velocità più elevate di trasferimento dei dati a dispositivi esterni in parte consentendo un accesso più diretto alla memoria di un computer rispetto ad altre porte, il che può comportare vulnerabilità della sicurezza. Una raccolta di difetti nei componenti Thunderbolt noto come Temporale rivelato da un gruppo di ricercatori l'anno scorso, ad esempio, ha dimostrato che collegare un dispositivo dannoso alla porta Thunderbolt di un computer può aggirare rapidamente tutte le sue misure di sicurezza.

Come rimedio, quei ricercatori hanno raccomandato agli utenti di sfruttare una funzionalità Thunderbolt nota come "livelli di sicurezza", che impedisce l'accesso a dispositivi non attendibili o addirittura disattiva Thunderbolt completamente nelle impostazioni del sistema operativo. Ciò trasformerebbe la porta vulnerabile in una semplice porta USB e display. Ma la nuova tecnica di Ruytenberg consente a un utente malintenzionato di ignorare anche quelle impostazioni di sicurezza, alterando il firmware del chip interno responsabile della porta Thunderbolt e modificando le sue impostazioni di sicurezza per consentire l'accesso a qualsiasi dispositivo. Lo fa senza creare alcuna prova di tale modifica visibile al sistema operativo del computer.

"Intel ha creato una fortezza attorno a questo", afferma Tanja Lange, professore di crittografia presso la University of Technology di Eindhoven e consulente di Ruytenberg sulla ricerca di Thunderspy. "Björn ha superato tutte le loro barriere."

In seguito alla ricerca di Thunderclap dello scorso anno, Intel ha anche creato un meccanismo di sicurezza noto come Kernel Direct Memory Access Protection, che impedisce l'attacco di Ruytenberg a Thunderspy. Ma la protezione DMA del kernel è carente in tutti i computer realizzati prima del 2019 e non è ancora standard oggi. In effetti, molte periferiche Thunderbolt realizzate prima del 2019 sono incompatibili con la protezione DMA del kernel. Nei loro test, i ricercatori di Eindhoven non sono riusciti a trovare macchine Dell dotate della protezione DMA del kernel, comprese quelle del 2019 o successive, e sono stati in grado di verificare solo alcuni modelli HP e Lenovo dal 2019 o successivi. I computer che eseguono MacOS di Apple non sono interessati. Anche Ruytenberg lo è rilasciando uno strumento per determinare se il tuo computer è vulnerabile all'attacco di Thunderspy e se è possibile abilitare Kernel DMA Protection sul tuo computer.

Return of the Evil Maid

La tecnica di Ruytenberg, mostrata nel video qui sotto, richiede di svitare il pannello inferiore di un laptop per accedere al controller Thunderbolt, quindi collegare un dispositivo programmatore SPI con una clip SOP8, un componente hardware progettato per collegarsi ai pin del controller. Quel programmatore SPI riscrive quindi il firmware del chip — che nella demo video di Ruytenberg richiede poco più di due minuti — essenzialmente disattivando le sue impostazioni di sicurezza.

[Embed] https://www.youtube.com/watch?v=7uvSZA1F9os [/ embed]

"Ho analizzato il firmware e ho scoperto che contiene lo stato di sicurezza del controller", afferma Ruytenberg. "E così ho sviluppato metodi per cambiare lo stato di sicurezza in" nessuno ". Quindi sostanzialmente disabilitando tutta la sicurezza ". Un utente malintenzionato può quindi collegare un dispositivo alla porta Thunderbolt che modifica il suo sistema operativo per disabilitare la schermata di blocco, anche se utilizza la crittografia del disco completo.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *