A interface Thunderbolt sofreu muitos ataques de hackers, pois permite acesso direto à memória. Um especialista em segurança da informação demonstrou recentemente um novo tipo de ataque que não pode ser protegido por atualizações de software. O acesso aos dados em um PC pode ser obtido em cinco minutos, deixado sozinho com o laptop da vítima.
Fonte da imagem: YouTube, Thunderspy
Bjorn Ruytenberg, da Universidade Técnica de Eindhoven, na Holanda, no final da semana passada, mostrou uma nova vulnerabilidade no sistema de proteção de informações de todos os computadores pessoais com interface Thunderbolt, lançada antes de 2019 e sem o mecanismo de proteção de acesso direto à memória do kernel. Este último não conseguiu obter ampla distribuição e, portanto, mesmo cópias “frescas” de laptops com interface Thunderbolt podem ser suscetíveis a um novo tipo de ataque.
Enfatizamos que o invasor terá que obter acesso físico ao laptop da vítima e até entrar no gabinete para conectar o programador a um conector especial na placa-mãe. O dispositivo bloqueado com uma senha permanece ativado e a principal tarefa do hacker é ignorar o procedimento de entrada de senha ao entrar no Windows ou MacOS. Para resolver isso, atualize o microcódigo do controlador Thunderbolt através do mesmo conector na placa-mãe. Nas configurações do controlador carregado, as funções relacionadas à segurança da informação são simplesmente desativadas. Depois disso, o invasor conecta um dispositivo especial à porta Thunderbolt do laptop, que carrega um programa malicioso na memória do PC atacado que ignora a verificação de senha ao entrar no Windows. Ao entrar no sistema operacional, um hacker pode obter acesso a qualquer dado no laptop da vítima.
O custo do equipamento necessário para implementar esses ataques não excede várias centenas de dólares, mas, em conjunto, ocupa muito espaço. Um invasor com um orçamento maior, de acordo com o autor do relatório, poderá colocar todos os componentes necessários em um dispositivo compacto que não valha mais que US $ 10.000. As agências de inteligência, por exemplo, podem pagar por isso.
Se as vítimas das configurações da porta Thunderbolt na BIOS permitirem a conexão de dispositivos confiáveis no laptop, a tarefa do invasor será um pouco simplificada. Desmontar a caixa do laptop e atualizar novamente o controlador não será mais necessário, mas você precisará do mesmo dispositivo de usuário confiável anteriormente conectado à porta Thunderbolt de um computador específico. Um hacker pode copiar uma senha de 64 bits deste dispositivo e transferi-la para o dispositivo usado para ataque.
É impossível implementar proteção contra esse tipo de ataque no nível do software, de acordo com Ruytenberg, a menos que o sistema suporte a Proteção de DMA do Kernel. É recomendável que os usuários habilitem a criptografia de dados no disco rígido, restrinjam o acesso físico ao computador a pessoas não autorizadas e, em casos extremos, desabilitem a porta Thunderbolt no BIOS. Talvez a proteção seja implementada nos controladores Thunderbolt da próxima geração, mas por enquanto você só pode lidar com a vulnerabilidade com os métodos acima.
.