17 апреля 2020 года специалист по кибербезопасности Бьорн Рутенберг (Bjorn Ruytenberg) опубликовал результаты анализа безопасности протокола Thunderbolt под заголовком «Нарушения безопасности протокола Thunderbolt: отчет об уязвимостях» (в ориг. «Breaking Thunderbolt Protocol Security: Vulnerability Report»). Он обнаружил несколько уязвимостей безопасности протокола Thunderbolt, которые могут эксплуатироваться злоумышленниками с локальным доступом к целевой системе. Хакеры могут получит доступ к данным даже на зашифрованных дисках, когда компьютер заблокирован или находится в спящем режиме.
Всего в отчете фигурирует семь различных уязвимостей, которые затрагивают «компьютеры и ноутбуки, оснащенные хост-контроллером портов Thunderbolt 2 и/или Thunderbird 3». Уязвимостям Thunderbolt подвержены все операционные системы Windows, от Windows 7 до Windows 10, а также системы Linux с версией ядра 4.13 или выше. Системы macOS подвержены уязвимостям лишь частично по причине интеграции дополнительных мер безопасности.
Примечание
Компания Intel заявила, что новые версии Windows 10, macOS X и Linux поддерживают защиту прямого доступа к памяти (Direct Memory Access, DMA), которая позволяет уменьшить риски атак, описанных в отчете.
Microsoft опубликовала отдельную статью по этому поводу на портале Microsoft Docs. В системах Windows 10 версии 1803 или выше, администраторы могут перейти в меню Пуск > Параметры > Обновление и безопасность > Безопасность Windows > Открыть службу «Безопасность Windows» > Безопасность устройства > Сведения об изоляции ядра > Защита доступа к памяти для проверки состояния защиты. Функция должна поддерживаться прошивкой UEFI. Кроме того, она не совместима с другими методами защиты от атак BitLocker DMA.
Spycheck
Программа Spycheck для проверки уязвимостей Thunderspy была создана тем же специалистом, который занимался анализом устройств с портами Thunderbolt. Приложение доступно для систем Windows и Linux. Версия для Windows совместима с Windows 7 и более новыми версиями Windows. Версия для Linux поддерживает системы Linux на базе ядра 3.16 или выше, а для ее работы требуется Python 3.4 или выше.
При запуске программа предлагает указать порты устройства. Это могут быть порты USB-C или Mini-DisplayPort с символом молнии или без него. После выбора порта, нажмите кнопку Next, чтобы проверить порт. Устройства без Thunderbolt будут автоматически отображаться как «неуязвимые». В случае обнаружения уязвимостей, программа предложит решения по исправления проблем безопасности.
Исследователь создал демонстрационные видеоролики. На одном из них показано, как можно разблокировать компьютер Windows за 5 минут за счет успешной эксплуатации уязвимостей.
На втором видео показано, как отключить все меры безопасности Thunderbolt на компьютере Windows.
А вы используете устройства с портами Thunderbolt? Оказались ли они уязвимыми?
Угрозы безопасности
• Уязвимость WinRAR позволяет обходить предупреждения безопасности Mark of the Web в Windows
• Apple устранила более 50 уязвимостей в свежих обновлениях iOS, iPadOS и macOS
• Вирус Triada на поддельных смартфонах крадёт Telegram-аккаунты и криптовалюту
• Атака «Фишинг как услуга» использует DNS-over-HTTPS для обхода обнаружения
• Mozilla предупреждает о критической уязвимости обхода песочницы в Firefox для Windows
• Популярные расширения Chrome взломали. Как защитить себя?