В стандарте Thunderbolt обнаружены уязвимости, которые могут позволить хакерам получить доступ к содержимому накопителя заблокированного ноутбука в течение нескольких минут. Об этом заявил исследователь в сфере информационной безопасности из Технологического университета Эйндховена. Отмечается, что уязвимости затрагивают все компьютеры с поддержкой Thunderbolt, выпущенные до 2019 года.
Хотя атаку можно осуществить достаточно быстро, она всё же потребует физического доступа к компьютеру. Теоретически, используя обнаруженные уязвимости, хакер может получить доступ ко всем данным на ноутбуке примерно за 5 минут, даже если устройство заблокировано, защищено паролем или его накопитель зашифрован. Для проведения атаки потребуются некоторые доступные в продаже компоненты общей стоимостью в несколько сотен долларов. Уязвимости подвержены устройства, работающие под управлением операционных систем Windows или Linux. Что касается систем на базе macOS, то проблема затрагивает их «частично».
Бьорн Руйтенберг, исследователь, обнаруживший уязвимости, опубликовал видео, в котором показан процесс проведения атаки. В ролике показан ноутбук Lenovo ThinkPad, купленный в прошлом году. Устройство находится в режиме сна и защищено паролем. Для проведения атаки первоначально нужно снять заднюю крышку ноутбука, а затем – подключить специальное устройство к материнской плате. Сама атака производится посредством другого подключенного ноутбука. При этом Бьорн Руйтенберг смог отключить безопасность целевого ноутбука и войти в систему. Весь процесс (с учётом демонстрации) занимает около 5 минут.
Это не первый случай, когда возникают проблемы с безопасностью, связанные с технологией Intel Thunderbolt. Частично это объясняется тем фактом, что эта технология опирается на прямой доступ к памяти компьютера и обеспечивает более высокую скорость передачи данных. В 2019 году исследователи безопасности выявили уязвимость Thunderbolt, которую они назвали Thunderclap. Она позволяла безобидному на первый взгляд устройству с интерфейсом USB-C или DisplayPort скомпрометировать компьютер. Сообщается, что подобные проблемы безопасности являются причиной того, что Microsoft не добавила разъемы Thunderbolt в свои устройства Surface.
По словам исследователя, обнаруженные недостатки в программном обеспечении не могут быть исправлены, и для полного устранения проблем потребуется перепроектирование оборудования. Сама Intel утверждает, что базовая уязвимость в Thunderbolt не нова, и что она была устранена в обновлениях операционной системы в прошлом году. Но по данным Wired, защита Kernel Direct Memory Access Protection не была повсеместно внедрена. Исследователи в области безопасности говорят, что не смогли найти ни одного компьютера Dell с использованием данной защиты, и лишь в некоторых ноутбуках HP и Lenovo она реализована.
В конечном счете, Бьорн Руйтенберг говорит, что единственный способ для пользователей полностью предотвратить такие атаки – это отключить порты Thunderbolt своего компьютера в BIOS, включить шифрование накопителя и выключать компьютер, оставляя его без присмотра. Исследователь разработал программный продукт под названием Spycheck (доступный через сайт Thunderspy), который позволит выявить, уязвим ли конкретный компьютер для данной атаки.
Добавим, стандарт Thunderbolt 3 должен быть интегрирован в спецификацию USB 4. Исследователи говорят, что контроллеры и периферийные устройства USB 4 также могут быть уязвимы и должны быть протестированы, когда они появятся.
Источник: The Verge