Уразливості в технології Thunderbolt як новий вектор атак: ризики та способи захисту

Компанія ESET — лідер у галузі інформаційної безпеки — попереджає про ризики, пов’язані з виявленням ряду уразливостей в технології Thunderbolt, які відомі під назвою Thunderspy. Використовуючи їх, зловмисники можуть змінити і навіть вимкнути систему захисту інтерфейсу Thunderbolt на комп'ютері користувача.

Як результат, кіберзлочинці з фізичним доступом до певного пристрою здатні викрасти дані з нього, навіть у разі використання повнодискового шифрування і блокування за допомогою пароля або перебування пристрою у режимі енергозбереження. Уразливості Thunderspy були виявлені у травні 2020 року.

«Хоча про дослідження й стало відомо громадськості через інтерес до нового вектора атаки, однак поки що мало інформації про те, як захиститися або навіть визначити, чи не стали ви потенційною жертвою», — розповідає Ар'є Горецький, провідний дослідник ESET.

Варто зазначити, що Thunderbolt — це інтерфейс для забезпечення швидкісних з'єднань між комп'ютерами та периферійними пристроями, такими як зовнішні накопичувачі RAID, камери, дисплеї з високою роздільною здатністю тощо.

Технологія швидкісних з'єднань Thunderbolt відкриває нові можливості для кіберзлочинців. ESET.

Атаки з використанням Thunderbolt трапляються рідко, оскільки здебільшого вони є цілеспрямованими. «Те, що типовий користувач не є ціллю цієї загрози, не означає, що кожен перебуває в безпеці. Для багатьох дотримання деяких рекомендацій, описаних нижче, дійсно має важливе значення», — коментує дослідник ESET.

Існує два типи атак, націлених на безпеку Thunderbolt. Перший вид передбачає копіювання інформації про пристрої Thunderbolt, яким комп’ютер вже довіряє. Другий тип пов’язаний з вимкненням безпеки Thunderbolt назавжди з неможливістю повторного увімкнення.

«Атака з використанням копіювання подібна до методів злодіїв, які викрали ключ і зробили копію. Після цього вони можуть використовувати скопійований ключ кілька разівдля відкриття замка. Друга атака є формою вимкнення мікросхеми. У цьому випадку остаточно вимикається рівень безпеки Thunderbolt і забезпечується захист від змін для неможливості їх скасування», — пояснює Ар'є Горецький.

Обидві атаки здійснити непросто, оскільки потрібен особистий доступ до пристрою, а також інструменти для розбирання комп'ютера, приєднання програматора, зчитування вбудованого програмного забезпечення з мікросхеми SPI flash ROM, зміна коду і запис назад до мікросхеми.

Необхідність фізичного доступу до комп’ютера звужує коло потенційних жертв до особливо важливих цілей. Жертвами можуть стати керівники бізнесу, інженери, адміністративний персонал або інші співробітники, якщо зловмисник має комерційний мотив, наприклад, діє в цілях промислового шпигунства. У країнах з репресивними режимами цілями таких сучасних загроз, як Thunderspy, можуть бути політики, громадські організації та журналісти.

Рекомендації ESET, які допоможуть захистити Thunderbolt від крадіжки даних з використанням Thunderspy.

«Для захисту від подібних атак запобігайте будь-якому несанкціонованому доступу до комп'ютера. Також потурбуйтеся про захист усі відповідних інтерфейсів та портів, наприклад, USB-C. Крім цього, важливо не обмежуватися фізичними заходами безпеки, а забезпечити захист вбудованого та іншого програмного забезпечення», — зауважує дослідник ESET.

Крім цього, спеціалісти ESET підготували ряд рекомендацій, які допоможуть захиститися від крадіжки даних з використанням Thunderspy.

  • Оновлюйте операційну систему та вбудоване програмне забезпечення компютера до актуальних версій. У випадку з останнім недостатньо обмежуватися лише BIOS або UEFI. Також оновлення потребує вбудоване ПЗ відеочіпів, мережевих інтерфейсів, сенсорної панелі, контролерів рідкокристалічних дисплеїв тощо. Крім цього, смартфони, планшети, роутери та модеми мають власне вбудоване ПЗ, яке необхідно регулярно оновлювати.
  • Обмежте використання сплячого режиму чи інших гібридних режимів відключення, а краще повністю вимикайте комп'ютер, коли він не використовується. Такі дії можуть запобігти атакам з використанням пам'яті пристрою за допомогою Thunderspy.
  • Використовуйте повнодискове шифруваннядля внутрішніх накопичувачів і змінних носіїв. Хоч за даними досліджень технологію можна обійти, якщо комп'ютер заблокований або перебуває у сплячому режимі, однак повністю вимкнений пристрій залишався в безпеці.
  • У разі покупки нового комп'ютера подумайте про придбання пристрою без DMA-інтерфейсів, таких як порти Thunderbolt, ExpressCard та FireWire. Хоча вони часто можуть бути вимкнені під час налаштування вбудованого ПЗ, зловмисник із тривалим доступом до пристрою може спробувати їх повторно увімкнути.
  • Використовуйте надійне рішення для захисту з можливістю сканування інтерфейсу UEFI — одне з місць, де зберігається інформація про безпеку Thunderbolt.

Більше практичних рекомендацій щодо захисту від атак з використанням Thunderspy можна знайти за посиланням.